비싼 컴퓨터 여럿이 쓰면서 등장… 복잡해졌지만 더 안전할지는 의문[지식카페]

클릭하시면 더 큰이미지를 보실 수 있습니다 패스워드를 더 길고 복잡한 문자열로 만드는 것이 권고되지만, 그럴수록 사용자들은 자신이 가장 잘 기억하고 있는 몇 개의 패스워드를 반복해서 사용하게 된다. 패스워드가 어렵다고 보안성이 높아지는 것은 아니라는 이야기다. 최근 보안연구자들은 패스워드를 아예 없애는 방법이 훨씬 나은 방식이라고 이야기한다.

■ 지식카페 - 기술이 지나간 자리 (21)컴퓨터 패스워드

1960년대 신원확인 위해 도입
컴퓨터 사용자 늘자 계정탈취 우려 ‘길고 어려운’ 문자배열 권고
사용자 대부분 동일한 패스워드 반복 사용으로 해킹에 취약
다단계 인증 절차 적용 제안

분명 맞게 입력한 것 같은데 또 틀렸다고 한다. 영어 대소문자와 기호, 그리고 숫자까지 포함한 패스워드를 여러 번 빠르게 치다가, 찬찬히 입으로 다시 한 번 되뇌며 한 자 한 자 패스워드를 쳐보았던 경험은 누구나 한번쯤 있을 것이다. 특히 오랜만에 접속한 웹사이트에서 맞다고 믿었던 패스워드가 계속 틀리다고 해 어떻게 해야 하나 쩔쩔매다가, 패스워드를 복구하느라 시간을 보내는 것도 요사이 했던 온라인 경험 중 하나다.

암호의 역사는 기원전 수세기 전까지 올라갈 수 있지만, 온라인 계정에서 사용되는 패스워드의 역사는 1960년대부터 시작된다. 컴퓨터가 대형화되기 시작하면서 타임셰어링(time-sharing)이라는 개념이 소개되는데, 이는 비싸고 희소한 컴퓨터 자원을 여러 사람이 나누어 쓴다는 뜻이다. 여러 사람이 컴퓨터 자원을 사용하기 위해서 신원(ID·identification)과 이를 증명할 패스워드(password)라는 개념이 등장하게 됐는데, 이것이 오늘날 우리가 흔히 사용하는 아이디와 패스워드의 시작이다. 당시 이해되던 패스워드는 그 단어 자체가 설명하는 것처럼, 통과를 위한(pass) 단어(word)였는데, 화랑·담배처럼 군에서 쓰는 암구어 같은 단어 정도를 뜻했다.

1970년대 중대형 메인프레임을 중심으로 컴퓨터 사용자가 늘어나고, 아이디와 패스워드의 사용이 늘어나자 패스워드는 그전에는 볼 수 없었던 보안 문제를 야기하기 시작했다. 컴퓨터 역사에서 UNIX 운영체계와 C언어를 개발한 것으로 유명한 켄 톰프슨(Ken Thompson)은 1979년 어떤 사용자의 패스워드가 단순하게 단어라면, 사용자의 계정이 허락되지 않은 사용자에게 손쉽게 탈취될 수 있다는 것을 경고했다. “패스워드 보안”이라는 제목의 이 논문에서 톰프슨은 사용자들이 패스워드를 단순하게 소문자 단어로 쓰는 경향이 있는데, 시스템 공격자 혹은 해커가 단어사전을 이용해 패스워드로 사용될 만한 단어로 계속 접속을 시도했을 때, 불과 몇 초에서 몇 시간이면 해당 계정에 맞는 패스워드를 맞출 수 있음을 보여줬다. 톰프슨은 시스템 보안을 위해 패스워드를 더 길고 예측 가능하지 않은 문자열로 만들 것을 권고했는데, 톰프슨이 제안한 이 해결책은 이후 다양한 변형을 거치며 수십 년간 온라인 패스워드 세계의 기본 상식이 됐다.

패스워드에 대한 연구들은 사용자들이 사실 패스워드를 복잡하게 만드는 것을 꺼린다는 것을 잘 보여준다. 한 보안업체에 따르면, 2022년 기준 여전히 가장 많이 사용되는 패스워드는 ‘password’ ‘123456’ ‘123456789’와 같은 매우 놀라울 만큼 간단한 형태이고, 그 외 키보드 모양에 따른 약간의 변형된 패스워드, 즉 ‘qwerty’나 ‘1q2w3e’와 같은 패스워드가 가장 흔한 패스워드 순위권에 꼽힌다. 이는 당연하게도 사용자들이 패스워드를 만들 때 복잡한 패스워드를 만들어 생길 수 있는 여러 곤란한 상황을 피하고 싶어 하기 때문이다. 또 쉽고 기억하기 편한 패스워드가 실제 사용하기에도 훨씬 편하기 때문일 것이다. 단순한 패스워드로 인한 시스템 보안성 약화를 우려해, 많은 정보시스템에서는 톰프슨의 제안처럼 더 길고, 더 복잡한 패스워드를 사용하도록 강제하는 정책을 시행하고 있다.

그런데 복잡하기만 하면 더 안전한 걸까. 복잡한 암호는 실제 사용에 있어서 상당히 많은 문제를 야기한다. 런던대의 연구자들이 1999년에 발표한 “사용자는 적이 아닙니다”라는 제목의 연구에서 대다수 사용자는 이런 복잡한 패스워드 정책을 따르는 데 어려움이 있다며 의문을 제기했다. 일단 사람들은 복잡한 암호를 잘 만들지 못하는데, 엄격한 패스워드 정책이 시행되고 있는 사이트에서 패스워드를 만들 때 완전히 새로운 암호를 만들어 단번에 성공하는 사용자는 10명 중 2명이 채 되지 못한다. 또 사용자들은 하루에 평균 8번 정도 패스워드를 입력해야 하고, 패스워드가 복잡할 경우 입력과정에서 오타가 나기 십상이다. 심지어 매달 최소 1.5%의 사용자는 완전히 패스워드를 잊어 패스워드를 찾거나 계정을 복구하는 복잡한 과정을 수행해야 한다.

무엇보다 심각한 문제는 많은 사용자가 패스워드를 잊어버릴 수 있다는 두려움에 패스워드를 어떤 파일이나 문서에 적어 놓게 되는데, 이는 가족이나 사무실 동료에게 쉽게 노출될 수 있고, 결코 패스워드의 보안성을 유지할 수 있는 좋은 방법이 아니다.

복잡한 패스워드의 문제는 또 있다. 이상적으로 사용자들이 각각의 모든 사이트에 다른 암호를 사용하면 훨씬 보안성이 높아지겠지만, 복잡한 패스워드를 요구할수록 사용자들은 자신이 잘 기억하고 있는 한 개 혹은 몇 개의 패스워드를 반복해서 사용하게 된다. 연구에 따르면, 사용자들은 평균 6.5개의 다소 다른 형태의 패스워드를 사용하고 있고, 50% 이상의 사용자들은 평균 6개 이상의 사이트에서 동일한 아이디와 패스워드를 사용하고 있다. 바로 여기에 아이디와 패스워드 시스템의 본질적인 문제가 있다. 해커들은 보안은 약하지만 많은 사용자를 가진 사이트를 집중적으로 공격해, 여러 아이디와 패스워드의 쌍을 얻어낸다. 만약 사용자가 동일한 아이디와 패스워드를 여러 곳에서 사용하고 있다면, 해커들은 이를 은행, 정부, 플랫폼 사이트 등에 대입해보는 방식으로 사용자의 계정을 손쉽게 탈취(account hijacking)할 수 있게 된다. 이와 같은 방식의 해킹 및 해킹시도는 상상을 초월할 정도로 많은데, 2022년 마이크로소프트는 매일 최소 5000만 건 이상의 해킹으로 의심되는 로그인 시도를 탐지하고 있다고 밝히기도 했다.

2017년 미 국립표준기술연구소(NIST·National Institute of Standards and Technology)는 이러한 실제 사용성의 문제를 반영해 패스워드에 대한 새로운 권고안을 제시했다. 권고안은 기존의 어려운 패스워드가 좋다는 통념을 깨는 것이었다. 일단 NIST 권고안은 패스워드를 복잡하게 만드는 것에 집착할 필요가 없다고 말하는데, 이보다는 암호 자체의 복잡성을 높이기 위해 패스워드의 길이가 중요하고, 특히 최소 8자리 이상의 패스워드를 요구하는 것이 중요하다고 지적했다. 또 NIST는 패스워드를 주기적으로 바꾸도록 하는 정책이 사실상 실효성이 없다고 봤는데, 대부분 사용자는 패스워드를 바꾸도록 요구받으면 기존의 패스워드에 숫자나 기호를 한두 개 붙여 바꾸는 경우가 많고, 해커들은 이미 이런 패턴을 잘 알고 있기 때문이다.

패스워드를 아무리 복잡하게 만들어도 사용자 계정을 완벽하게 보호할 수 없기에 최근 계정 보안의 흐름은 크게 두 가지다. 하나는 웹브라우저나 운영체제에서 제공하는 패스워드 관리자를 이용하는 것이다. 웹브라우저나 운영체제의 보안은 상대적으로 잘돼있고, 매우 길고, 복잡하면서도 각각의 사이트마다 다른 패스워드를 쓸 수 있도록 도와주기 때문이다. 또 하나는 2단계 인증 혹은 다단계 인증을 사용하는 것이다. 다단계 인증은 아이디와 패스워드라는 1단계 인증을 통과하더라도 이메일이나 문자메시지를 통한 코드 전송, 지문인식, OTP 등의 다양한 방식의 인증 과정을 추가하는 것이다. 다단계 인증을 이용하면 혹시 아이디와 패스워드가 유출되더라도 다음 단계의 인증들이 해킹의 방어막이 되어 준다.

클릭하시면 더 큰이미지를 보실 수 있습니다

이렇듯 문제가 많은 패스워드, 아예 없애버릴 수는 없을까. 패스워드만큼 사용자 보안과 프라이버시의 핵심적인 위치에 있는 게 없는데도, 그 효용성에 대한 논쟁적인 주제는 많지 않다. 기술이 발전하는 과정에서 정책적이거나 기술적인 조치들이 더해지며, 오늘날의 패스워드라는 시스템은 너무 중요해서 단순히 버릴 수도, 그렇다고 계속 그대로 쓸 수만도 없는 상황이 되었다. 최근의 보안연구자들은 패스워드를 아예 없애는 방법이 차라리 훨씬 나은 방식이라고 이야기한다. 사용자에게 복잡한 패스워드를 만들고, 기억해내라고 요구하지 않고도 패스워드보다 훨씬 강력한 인증방식을 구현할 수 있다는 것이다. 물론 기술적으로는 패스워드 자체가 아예 사라지는 것은 아니지만, 사용자들은 패스워드를 매번 입력할 필요 없이, 휴대전화의 지문인식이나 물리적 보안 키 등을 이용해 사용자의 인증절차를 대신하는 FIDO 방식과 같은 다양한 방식이 활발히 연구되고 적용되고 있다. 기억을 짜내며 패스워드를 한 자 한 자 조심히 입력하는 오늘의 불편함과 불안감이 완전히 사라질 그날을, 필자도 손꼽아 기다리고 있다.

박동오 사회정보학 박사, 기술정책자문

■ 용어설명 - FIDO 얼라이언스

패스워드에 의존하지 않는 온라인 인증체계의 보급을 목표로 2013년 결성된 공개 산업 협회. 구글, 애플, 마이크로소프트 등 글로벌 주요 업체들이 참여하고 있으며, 삼성 등 국내 기업들도 멤버로 참여하고 있다. FIDO(Fast IDentity Online)의 목표는 패스워드가 아닌 다른 방식의 인증을 통해 빠르고 더 안전한 인증방식들을 산업계 전반의 제품과 서비스에 구현하는것이다. 이들의 슬로건은 “패스워드가 없는 것이 패스워드의 미래”다.