[앵커]
여러분께서 가입하신 사이트에서는 지속적으로 여러분들의 비밀번호를 바꾸라고 요청을 합니다. 이런 사건이 자꾸 터지니까요. 고객정보 또 털렸다 또 털렸다 계속 나오니까. 그런데 이게 바꾸면, 자주 바꾸면 좋겠느냐. 여기에 대해서 이견도 있습니다. 오히려 바꾸는 것 때문에 더 불리하다라는 얘기까지 나오고 있으니까요.
이 부분은 그래서 팩트체크가 필요할 것 같아서 오늘(21일) 김필규 기자가 이 문제를 가지고 얘기를 좀 해드리겠습니다. 자주 교체하는 게 위험하다는 얘기는 어디서 나온 얘기입니까?
[기자]
지난 18일이었습니다. 미국 IT 전문매체인 지디넷이 영국의 통신전자보안그룹 CESG의 연구결과를 인용해서 '비밀번호를 정기적으로 바꾸는 것은 끔찍한 생각이다' 이렇게 보도를 했고요.
또 이보다 앞서서 3월에는 와이어드라는 매체에서 비슷한 제목의 기사를 썼는데. "이제 보안 담당자들은 비밀번호를 자주 바꾸는 게 오히려 보안을 취약하게 한다는 사실을 털어놔야 한다"라는 미국 카네기멜론대 연구진의 인터뷰를 소개하기도 했습니다.
[앵커]
이 문안대로만 보면 바꾸지 말아야 될 것 같은데. 그럼 바꾸라고 요청하면 그냥 버팁니까, 안 바꾸고?
[기자]
일단은 그래서 바꾸지 않는 게 맞는 것이냐. 귀찮기는 해도 바꾸기는 바꿔야 될 것 같은데 이게 납득이 가지 않는 분들 좀 있으실 텐데요.
이유는 이렇습니다. CESG에서는 사람들이 이제 두 달이나 석 달 주기로 비밀번호를 바꾸지만 이번 카드사 해킹사건에서도 드러났듯이 한 번 털린 암호는 그 즉시 악용되기 때문에 별 도움이 안 된다는 겁니다.
또 그리고 하도 비밀번호 바꾸라, 바꾸라 해서 바꿨는데 나중에 결국 기억나지 않아서 한참 씨름하다가 결국 재발급 받은 경험 한두 번씩은 있으실 텐데요.
이런 과정이 거듭되면 결국 사용자들은 더 기억하기 쉬운, 취약한 암호로 바꾸려 한다는 게 런던 UCL 연구진의 분석이었습니다.
[앵커]
그러니까 다시 재차 질문을 드리자면 그러니까 바꾸지 말라는 얘기인가요? 안 바꾸는 게 유리합니까?
[기자]
꼭 그렇게 단정지을 수가 없습니다.
[앵커]
그럼 뭡니까, 그러면.
[기자]
화면을 보면서 설명을 드릴 텐데요. 지금 보시겠습니다.
지금 제가 직접 들어가는 저 웹사이트가 암호해독 프로그램으로 남의 비밀번호를 과연 얼마나 빨리 풀 수 있는지를 보는 그런 어떤 미국 보안사이트입니다.
제가 예를 들어서 팩트체크라고 영어로 암호를 설정을 하면 지금 보시는 것처럼 단 2분 만에 풀 수 있다고 나옵니다.
하지만 지금 보시는 것처럼 저렇게 키보드에 시프트키까지 눌러가면서 아주 복잡하고 길게 설정을 하면 푸는 데 지금 보시는 것처럼 무려 20억년이나 걸린다고 나옵니다.
그러니까 암호를 계속 잘 관리만 한다면 일반적으로 개인정보를 지키는 데는 도움이 된다는 겁니다.
[앵커]
저건 뭐라고 친 겁니까, 길게 친 건.
[기자]
길게 친 건 '짜장면 맛있다' 이렇게 친 건데요. 쌍지읒하고 쌍시옷이 들어가 있기 때문에 보안상으로는 굉장히 좋은 암호인 셈입니다.
하지만 문제는 또 이런 부분에서 발생할 수 있는데요. 전문가 이야기를 한번 들어보시죠.
[김승주 교수/고려대학교 : 비밀번호를 자주 바꾸는 것 자체는 분명히 도움이 되는데 그걸 어떻게 하면 사용자가 불편을 안 느끼고 자주 바꿀 수 있도록 해줄까를 고려해야 한다는 거예요. 비밀번호 자주 바꿔, 또 우리 매뉴얼 홈페이지에 공지했으니까 우리가 할 건 다 했어, 이게 잘못된 사고라는 거예요.]
또 그러니까 제대로 복잡하게 또 자주만 바꿔준다면 보안효과가 있겠지만 사용자들의 습성상 그렇게 하기가 쉽지 않다는 겁니다.
[앵커]
사실 저만해도 저희 JTBC 계정에, 메일 계정이 과거에 한번 털렸다면서요.
[기자]
네, 그렇습니다.
[앵커]
제가 여기 옮겨오기 전에 큰 사건이 있었던 걸로 알고 있습니다. 그래서 한 달에 한 번씩 바꾸라고 옵니다. 이걸 한 달에 한 번씩 바꾸다 보니까 그때마다 새로운 뭔가를 기억, 만들어내기도 그렇고 그걸 또 기억할 수가 없기 때문에 사실은 고백하자면 뒤에 일련번호만 바꿔나가고 있는 상황인데. 그래서 제가 이걸 얘기 안 해 드려야 되는 건가. 아무튼 그렇습니다.
[기자]
대부분 사용자들이 그렇게 하고 있기 때문에 오히려 그래서 더 보안이 취약해지는 면도 있다는 게….
[앵커]
그래서 오늘 이 얘기가 제가 와닿기는 합니다. 업체들이 로그인할 때 사용자들한테 비밀번호를 바꿀 때가 됐다 그러니까 바꿔라라고 그렇게만 얘기하는 것가지고는 따라서 안 된다 이런 얘기죠.
[기자]
그렇습니다. 많은 분들도 보셨을 텐데요. 지금 이 순간에도 컴퓨터에 지금 보신 화면들처럼 정말 다양하게 비밀번호 교체하라는 화면 뜰 텐데 그때마다 짜증내시는 분들도 많을 겁니다.
캐나다 칼턴대의 컴퓨터과학과 연구진은 "비밀번호를 자주 바꾸는 게 해커들의 공격을 약간 방해만 할 뿐이지 사용자들이 그 불편함을 감수하게 할 만큼 효과가 있는 건 아니다"라고 결론을 내렸습니다.
그리고 또 특히 유독 한국에서만 비밀번호 설정할 때 지금 보시는 것처럼 이렇게 긴 글자에다 대소문자, 특수기호, 숫자까지 복잡하게 요구한다는 게 전문가들의 지적인데요.
최근 애플이나 구글 같은 외국 기업에서는 아예 비밀번호 없이 사용자를 식별하게 하는 연구가 진행 중이고 또 성과를 내고 있습니다.
소비자에게 불편함을 떠넘기는 현재의 방식이 과연 최선인지 우리 업체들 좀 더 진지하게 고민을 해 봐야 할 것 같습니다.
[앵커]
팩트체크 김필규 기자였습니다. 수고했습니다.