대소문자에 특수부호 넣고 90일마다 변경까지
국립표준기술연구소 규칙 개정안 추진
특수문자 강요, 주기적 변경 요구 금지
한인타운에 거주하는 한인 시니어 조모씨는 2년 전부터 패스워드(비밀번호) 리스트를 만들어 관리해 오고 있다. 인터넷 활용이 많아지면서 유저네임(사용자 이름)과 패스워드의 수가 많아지면서부터다. 조씨는 "예전엔 은행이나 신용카드의 유저네임과 패스워드 정도만 기억하고 있으면 불편하지 않았다"며 "하지만 인터넷 서비스 사용이 많아지면서 외어야 할 패스워드가 크게 늘면서 아예 리스트를 만들었다"고 했다. 하지만 조씨가 패스워드 리스트 관리에 들이는 노력은 줄어드는 대신 오히려 더 늘고 있다. 일정 기간이 지나면 패스워드 변경을 요구하는 팝업창이 줄지 않을 뿐 더러 대소문자와 특수문자를 넣어 설정해야 사용 승인을 하는 웹사이트 서비스가 늘어난 탓이다. 조씨는 "8자 이상에 대소문자와 특수문자를 넣고 일정 주기로 바꾸다 보니 비번 끝에 !와 @를 번갈아 가면서 변경하는 방식을 쓰고 있다"며 "패스워드 관리를 편하게 하기 위해 만든 리스트를 매번 업데이트하는 일이 이젠 일상이 되고 말았다"고 말하며 씁쓸해했다.
앞으론 한인 조씨처럼 인터넷 서비스의 까다로운 패스워드 규칙을 따르기 위해 속 터지는 경험을 하는 일이 줄어들 것으로 보인다. 세계 각국과 기업들의 자체 패스워드 규칙 제정에 기준을 제시하는 미국 국립표준기술연구소(NIST)가 특수문자의 혼용과 주기적인 패스워드 변경 등 기존 관련 요구 사항을 더 이상 쓰지 말라는 내용을 담은 개정안 추진에 나서면서다.
NIST가 지난달 공개한 릫디지털 신원 지침(가이드라인)릮 개정안에 따르면 특수문자를 비롯해 여러 문자유형을 혼합해 쓰도록 사용자에게 추가적인 패스워드 규칙을 부과하는 행위와 정기적으로 패스워드 변경을 요구하는 행위를 금지 항목으로 정했다. 지난 2017년 금지권고에서 한 단계 높은 수준으로 격상한 것이다.
인터넷 서비스 제공업체들이 보안성과 해킹 방지를 이유로 요구하는 복잡한 패스워드는 기억력이 점점 감퇴하는 시니어들에겐 인터넷 사용의 장벽으로 작용하고 있다. 영문 대소문자와 숫자, 여기에 특수문자 1개 이상을 포함하고 60일이나 90일 등 일정 기간 마다 패스워드를 변경하는 규칙은 NIST의 2007년 지침에 따른 것들이다. 인터넷 사용 서비스가 급증하면서 시니어를 비롯한 사용자들의 패스워드 관리 부담도 크게 늘었다.
사정이 이렇다 보니 사용자들은 패스워드를 잊어 버리기 않기 위해 기존 패스워드에 !나 @ 같은 기억해내기 쉬운 특수문자를 돌려가면서 사용하거나 패스워드를 따로 적어 관리하기도 한다.
보안전문가들이 복잡한 패스워드가 오히려 보안성을 취약하게 하는 원인으로 작용한다고 지적하는 대목이다.
NIST는 "유출된 패스워드 데이터베이스를 분석한 결과 숫자·문자·기호를 혼합해 구성한 패스워드를 선택하는 규칙의 이점이 당초 생각보다 크지 않고, 사용성과 기억력에 미치는 영향이 심각한 것으로 나타났다"며 "이 때문에 패스워드 길이를 바탕으로 좀 더 간단한 접근방식을 제시했다"고 설명했다.
대신 NIST는 패스워드를 길게 만들 것을 권고했다. 릫B^$9t&5′처럼 복잡하지만 짧은 것보다는 기억하기 쉽지만 긴 패스워드가 보안 측면에서 더 효과적이라는 것이다. NIST는 각 인터넷 사업자들에게 최소 8자, 최대 64자까지 암호를 허용할 것을 권장했다. 이외에도 모바일 인증번호, 생체인증 등을 활용한 2차 인증과 비밀번호 관리자 기능을 사용할 것을 권고했다.
남상욱 기자
