인터넷이 대중화되고 수많은 보안 이슈를 접할 수 있는 요즘,
우리는 여러가지 컴퓨터 보안 상식을 전해듣는다.
대부분은 20세기의 위대한 선배 해커들이 우리에게 남긴 문화유산이지만
어떤 것들은 21세기의 게으른 보안 업계의 직원에 의해
시대의 흐름을 무시하고 여과없이 전해지는 잘못된 상식이기도 하다.
그럼 어떤 것이 버려야할 잘못된 상식일까.
1. 암호를 쉽게 만드는 것은 위험한가.
암호가 될 수 있는 가능한 모든 단어를 모두 입력해 보는 기법을 전수공격이라 한다.
(예를들어 핸드폰 잠김을 풀려면 만번의 버튼만 눌러보면 된다. 0000~9999 까지.)
이것은 가장 기본적인 해킹으로 20세기 해커에게는 매우 중대한 문제였다.
그리고 전수공격을 조심하라는 충고는 우리에게 아직도 전해내려오고 있다.
그러나 당신이 쉬운 암호를 선택했다고 해서 잠을 못 이룰 만큼 벌벌 떨 필요는 없다.
해커는 시스템관리자나 중요한 정보에 접근할 수 있는 권한자의 암호를 알아내기 위해 전수공격을 한다.
결코 당신의 아이디는 아니다.
그저 지나치게 쉬운 비밀번호만 사용하지 않으면 된다.
아이디와 동일한 비밀번호나 '1234', 'qwert' 같은 비밀번호만 피해라.
2. 암호에는 숫자나 특수문자가 들어가야 하는가.
단지 영문 소문자로만 구성된 암호이면서도 매우 안전한 암호를 소개한다.
'ckzkrptkfwk(차카게살자)'이런 시시한 암호를 사용해도 당신의 스팸 가득한 메일함은 해커의 공격에 끄떡없을 것이다.
앞서 말했지만 해커는 당신의 아이디를 전수공격하지 않는다. 절.대.로.
만약 해킹을 당했다면 당신의 암호는 다른 방식으로 새어나간 것이고
그런 경우는 어려운 암호건 쉬운 암호건 아무 상관이 없다.
3. 그러나 옥션 사건과 같은 해킹이 발생하면 쉬운 암호는 위험하지 않은가.
물론 불특정 다수의 암호를 무작위로 추측하는 경우에는
관리자가 아닌 우리의 아이디도 전수공격의 대상이 될 수 있다.
따라서 옥션 사건에서 유출된 암호는 해커가 전수공격으로 해독할 가능성이 있다.
그러나 숫자나 특수문자를 섞는다고 전수공격이 불가능한 것은 아니다. 시간이 조금 더 걸릴 뿐.
문제는 암호의 길이에 있다.
'!2#4%6' 보다 'ckzkrptkfwk' 가 전수공격으로 해석되는데 더 오래 걸린다.
따라서 굳이 숫자나 특수문자에 인생을 걸 필요는 없다.
옥션 사건과 같은 일은 우리가 게임방에서 암호를 흘리고 다니는 횟수보다 더 적게 발생한다.
4. 왜 어려운 암호에 대해 딴지를 거는가.
어려운 암호를 만드는 것은 어찌되었든 보안 측면에서 매우 바람직한 일이다.
그러나 수많은 보안관리자가 어려운 암호를 강요하면서 더 많은 문제를 일으키고 있다.
우리는 적게는 수개에서 많게는 수십,수백의 아이디를 가지고 있다.
어느 사이트에 어떤 아이디로 가입했는지도 모두 기억하지 못하고
우리가 어떤 암호를 지정했는지도 기억하지 못한다.
보안업체 직원은 아무렇지 않게 모든 사이트의 암호를 다르게 지정하라고 말한다.
그러나 이것은 진심어린 바보짓이다.
당신이 암호를 잊어 암호찾기 기능을 자주 사용한다면
쉬운 암호를 사용하는 것보다 수천배는 더 위험하다.
실제로 보안관리자들은 생각보다 훨씬 멍청하고 공무원스럽다.
그들의 강요는 보통 보험회사 직원의 말과 다를게 없다.
당신은 잘 발생하지도 않는 질병을 위해 보험료를 수만원씩 지불하고 있는 것이다.
암호에는 숫자와 특수문자를 섞어서 만드세요.위의 어떠한 주장도 당신의 안전을 크게 감소시켜 주지 않는다.
암호는 3개월에 한번씩 교체하세요.
각각의 사이트에서 모두 다른 암호를 사용하세요.
잊지마라. 해커는 당신의 아이디에는 관심이 없다.
그들의 말을 따르려고 스트레스를 받는 동안 우리는 남들보다 더 쉽게 암호를 잊는다.
이것은 우리를 더욱 더 치명적인 보안 위협에 노출되게 만든다.
잘난척하기 좋아하는 보안관리자의 충고와 강요를 받아들인다면,
우리의 암호를 조금도 궁금해하지 않는 해커를 피하느라
주변 사람이나 스크립트 키디에게 암호를 노출하게 될 것이다.
숫자와 특수문자를 섞은 암호를 사용하는 우리는 툭하면 암호 입력할 때 오타를 친다.
암호는 * 로 표시되므로 어떻게 오타가 발생했는지 알 수가 없어 처음부터 다시 친다.
여러번 같은 암호를 친다면 옆에서 훔쳐보는 사람이 암호를 알아낼 수도 있다.
또한 3개월에 한번씩 교체하느라 정신이 없는 우리는
한달쯤 접속을 하지 않은 사이트의 암호를 잊는다.
그리고 늘 그렇듯이 우리는 암호가 틀리면 사용하고 있는 다른 암호를 입력한다.
알고 있는 모든 암호 규칙을 한 사이트의 암호 입력창에 다 쏟아붓는 것이다.
만약 그 키보드 입력이 기록되고 있었다면 우리는 사용중인 모든 암호를 다 넘겨준 게다.
그래도 암호가 맞지 않다면 우리는 어쩔 수 없다는 듯이 암호찾기 버튼을 클릭한다.
이름과 주민등록번호 또는 이메일 주소를 입력하고 우리는 아이디를 찾는다.
그리고 비슷한 과정을 통해 비밀번호를 찾는다.
이 과정으로 우리는 외부에 기본적인 개인정보를 다 전달했다.
누군가는 매우 성공적으로 우리의 암호를 찾기 위해 필요한 모든 정보를 알게 되었다.
우리가 암호를 쉽게 잊으면 잊을수록 이러한 과정은 더 자주 반복된다.
그리고 PC방이나 외부의 컴퓨터에서 이런 일은 더 자주 발생한다.
우리의 정보에 관심없는 해커를 피하기 위해
우리의 메일을 엿보고 싶어하는 친구나 스크립트 키디에게 정보를 있는 힘껏 내어준다.
3개의 백신을 동시에 돌리고 그 누구도 추측 못할 암호 규칙을 만들어
보안 공부를 누구보다 많이 했다고 뻐기는 게 목적이라면 충분히 성공이다.
그러나 보안에서는 암호를 잊는 것이 가장 나쁜 습관이다.
어떤 관리자는 강제적으로 암호 교체를 지시하고 특수문자가 포함된 암호를 강요한다.
덕분에 우리는 최선을 다해서 암호를 잊을 수 있다.
결국 누군가는 암호를 포스트잇에 적어 모니터 옆에 붙여놓게 된다.
세상 그 누구보다 공무원스러운 보안관리자의 출중한 능력이다. 특히 회사에서 이런 일이 많다.
암호를 강력하게 만들고 아이디를 잘 관리하는 것은 좋은 습관이다.
그러나 보안 상식이라고 알려진 것 중에는
20세기의 해킹에 대응하기 위한 것이 많다.
덧붙여,
강력한 암호가 필요하다면 이런 방법이 있다.
'http://daum.net' 에 접속할 때 'ckzkrptkfwk(차카게살자)' 라는 암호를 사용한다고 치자.
둘을 섞으면 특수문자가 섞여있고 모든 사이트에서 다르면서도 항상 일관된
매우 강력한 암호를 만들 수 있다.
daum.net/ckzkrptkfwk 또는 hctktzpk:r/p/tdkafuwmk.net그러나 나라면 이런 암호는 쓰지 않는다.
오타를 만들어 수십번쯤 접속에 실패할 것이다.