스마트폰의 시대가 되면서 우리는 수많은 사이트와 앱에 가입하며 패스워드를 기억하고 변경하는데 많은 시간과 노력을 기울이고 있다. 2024년 미국 NIST가 새로 발표한 패스워드 관리 규칙은 기존의 복잡성보다 사용자 편의와 보안을 동시에 강화하는 데 중점을 두고 있다.
가장 중요한 변화는 패스워드 길이 강화로, 복잡한 조합보다는 12~16자의 긴 패스워드가 더 안전하다는 점을 강조하고 있다. 사실 웹사이트와 앱 서비스를 제공하는 제공자 측에서 지속적인 로그인 시도가 있을 경우 보안 가이드에 따라 회원에게 비정상적인 상황에 따른 경고를 주기 때문에 짧은 패스워드보다 긴 길이의 패스워드가 안정하다는 점이 고려된 것이다.
주기적인 패스워드 변경으로 인해 스트레스가 많았던 사람들에게 희소식이 있다. 패스워드 보안 가이드에서 주기적인 패스워드 변경 의무는 폐지되었으며, 보안 사건이 발생했을 때만 변경을 권장하고 있다. 즉, 유출되지 않는 패스워드는 안전하기 때문에 굳이 상황을 변경할 필요가 없다는 의미를 내포하고 있다. 요즘 계정 해킹은 사회 공학적인 관점에서 가치가 있는 사람을 공략하기 때문에 무작위 공격이 적기에 공격이 없다면 안전한 것으로 간주 되기 때문이다.
또한 패스워드를 관리하는 프로그램인 패스워드 매니저 사용을 적극 권장함으로써 사용자들이 안전하게 비밀번호를 관리할 수 있도록 권고했다.
이 규칙이 등장한 배경에는 사용자의 보안 습관 개선과 실제 공격 방식의 변화가 있다. 과거의 복잡한 비밀번호 규칙은 사용자들이 비밀번호를 재사용하거나 쉽게 예측 가능한 비밀번호를 만드는 문제를 초래했다.
대표적으로 qwer1234나 password1234와 같이 예측 가능하고 습관적으로 사용하는 패스워드로 인해 이런 규칙이 나타났다. 이를 개선하기 위해, 패스워드의 길이를 늘려 무차별 대입 공격을 어렵게 하고, 잦은 비밀번호 변경 요구가 사회공학적인 피싱 공격으로 악용되어 보안 취약성을 초래하는 문제를 해결하려는 것이다.
이 새로운 규칙은 단순히 보안 강화를 넘어 사용자 경험을 개선하면서도 비용 절감과 효율성까지 고려한 변화로, 디지털 보안의 중요한 전환점을 의미한다.
새로이 권고된 비밀번호 관리자는 복잡한 비밀번호를 기억할 필요 없이 강력한 패스워드를 생성하고 보관해주기 때문에, 무차별 대입 공격이나 피싱 시도로부터 사용자를 보호하는 핵심 도구라고 할 수 있다. 대표적인 소프트웨어는 구글에서 제공하는 비밀번호 관리자이다.
앞으로의 패스워드 관리 방법
-긴 비밀번호를 설정하되, 복잡한 조합보다는 길이를 늘리는 것이 안전하다.
-패스워드 매니저를 사용하여 비밀번호를 안전하게 관리하라.
-구글 authenticator와 같은 이중 인증(2FA)을 활성화하여 추가적인 보안 기능을 활성화 하라.
앞으로 미국 NIST의 보안 가이드에 따라 글로벌 빅테크 기업의 패스워드 관리 체계가 변경될 것이다. 한국 정부와 민간의 보안 가이드 역시 이에 맞춰 글로벌 스탠다드와 사용자의 편의성에 맞춰 혁신을 변화를 준비해야 할 때가 되었다.
필자 소개: 김호광 대표는 블록체인 시장에 2017년부터 참여했다. 나이키 'Run the city'의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신러닝, 클라우드 등이다.
소성렬 기자 hisabisa@etnews.com
