검색
LAW&스마트

비밀번호 보호

전응준 변호사 (법무법인 유미)

아이디는 인터넷상의 이름이고 비밀번호는 아이디가 실제 본인과 동일하다는 점을 인증하는 수단이다. 인터넷에서도 타인의 아이디를 사칭하는 자가 있다. 아이디 도용을 막기 위해서는 비밀번호를 누구도 알 수 없도록 보호하여야 한다. 이를 위하여 관련 법령은 사업자에게 몇 가지의 의무사항을 부과하고 있다. 그 중 회원의 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경케 하는 것이 있다. 동일한 비밀번호를 장기간 사용하지 않도록 하여 보안을 강화하자는 것이 목적이다.

그러나 최근 외국의 연구결과에 따르면, 비밀번호를 주기적으로 변경케 하는 관리방법은 오히려 보안에 취약하다. 사람들은 비밀번호를 여러 번 변경하는 것에 짜증을 내기 쉽고 그 과정에서 보안에 취약한 간단한 비밀번호를 택하는 경향이 있다는 것이다. 그리고 사람들은 비밀번호 변경 시 일정한 변형 패턴을 취하고 이를 해커들이 해석할 수 있다고 한다. 사람들이 흔히 취하는 변형 방식은 비슷한 모양의 문자로 치환하기(S를 $로), 특수문자를 추가, 삭제하기(느낌표 추가), 숫자, 특수문자의 순서를 변경하기(숫자를 앞에서 뒤로), 비밀번호 변경시점의 연월 숫자를 비밀번호에 삽입하기 등이다.

이 연구는 그 대안으로 사업자에게 'bcrypt'와 같은 처리속도를 늦추는 해시함수를 사용하고 비밀번호마다 임의의 문자를 덧붙여 해싱하는 'salt' 기법을 사용하라고 한다. 여기에 로그인 시도횟수 제한, 비밀번호 길이와 복잡도를 증가시키는 방법도 여전히 유효하다고 보고 있다. 이론상으로는 유효할 수 있으나 여러 요인으로 인하여 실제로는 부적합하게 된 관리방식을 경험적 고찰을 통하여 배제하여야 한다는 것이 연구결과의 논지이다. 과거에 이론적으로 적합하다고 여겼던 보호조치에 대한 통계적, 경험적 연구가 필요하다. 기술의 발전과 사용자의 뜻밖의 행태로 인하여 이론적인 보호조치가 제대로 효과를 내지 못하는 경우가 많다. 우리의 현실은 어떠한가. 아직도 비밀번호를 해시값이 아닌 평문으로 서버에 보관하면서 비밀번호를 잃어버린 회원에게 비밀번호를 그대로 알려주는 곳이 있다. 서버관리자도 회원의 비밀번호를 몰라야 한다는 기본적 이론도 숙지되지 않았다는 사실에 마음 아프다.
미국변호사