[태그:] 보안

지금 당장 비밀번호를 바꿔야 하는 이유

살면서 우리는 많은 사이트에 가입을 하고, 대부분은 같은 비밀번호를 사용합니다. 그리고 저도 그랬었습니다.

이런, 제 비밀번호가 이미 털렸군요

그리고 제가 사용하던 비밀번호는 털린 지 오래였습니다. 구글 계정이 잠기고, 네이버와 스팀에서는 해외 로그인 시도가 하루가 다르게 생기는 사고가 있었죠. 그 이후 저는 모든 사이트의 비밀번호를 일일이 바꾸기 시작했습니다. 지금 이 순간에도 어딘가에서는 비밀번호가 털리고 있습니다. 내 비밀번호는 털리지 않을 거라는 막연한 믿음은 나를 지켜주지 않는다는 걸 저는 몸소 깨달았죠.

그렇다면 비밀번호를 바꿔야 하는 이유에 대해 좀 더 자세히 알아보겠습니다.

비밀번호로 열어야 하는 자물쇠.

여기 네 자리 숫자 비밀번호를 풀어야 열리는 자물쇠가 있습니다. 이 자물쇠를 여는 방법은 간단합니다. 자물쇠를 부수면 됩니다 0000부터 9999까지 전부 시도해 보면 됩니다. 이렇게 모든 경우의 수를 시도하는 방법을 브루트 포스 라고 합니다.

비밀번호가 네 자리 숫자로 되어 있다는 것을 알기 때문에 만 번만 시도해 봐도 된다는 것을 우리는 쉽게 알 수 있습니다. 하지만 비밀번호가 몇 자리인지 모르고, 알파벳이 들어가 있다면 어떨까요? 그렇다면 비밀번호를 뚫는 데 걸리는 시간은 아주 오래 걸릴 겁니다.

영문 대소문자, 숫자, 특수문자를 모두 사용한다고 가정할 때, 8자리 비밀번호는 단 8시간만에 풀 수 있지만, 12자리가 된다면 무려 40만 년이 걸립니다[1]https://www.security.org/how-secure-is-my-password/.

KISA에서는 두 종류 이상의 문자 구성(영문 대문자, 소문자, 숫자, 특수문자 중 2종류 이상)으로 된 8자 이상의 문자열 또는 10자리 이상의 문자열을 권장하고 있습니다[2]https://www.kisa.or.kr/2060305/form?postSeq=14&lang_type=KO.

이렇게 열심히 비밀번호를 만들었음에도 또 털립니다. 왜 그럴까요?

의미 없는 코드.

우리가 사이트에 로그인하는데 사용되는 비밀번호는 서버에 그냥 저장되지 않습니다. 예를 들어, 제가 네이버에 test1234라는 비밀번호를 설정했다고 칩시다. 그러면 네이버 서버는 test1234라는 값을 저장하지 않습니다. 서버는 이 값을 가지고 참깨빵 위에 순쇠고기 패티두장 특별한 소스 양상추 치즈 피클 양파까지 빠라빠빠빠 하는 과정(SHA-256 등)을 통해 나온 값을 저장합니다. 937e8d5fbb48bd4949536cd65b8d35c426b80d2f830c5c308e2cdec422ae2244 라는 값은 전혀 알아볼 수 없는 것처럼 보입니다. 그러나 test1234를 입력하면 937어쩌구라는 값이 나오게 되어 있으므로, 비밀번호를 제대로 입력한다면 이 값이 맞는지를 검증한 후 로그인에 성공하게 되는 것이죠. 그러나, 비밀번호가 단 한 글자라도 틀린다면 저 과정을 통해 나오는 값은 전혀 일치하지 않게 됩니다[3]test1235를 입력하면 7e263eb7439f020a8e60f454fcd8193ffc071d9f7d54f7260073a4ee8458c23b라는 엉뚱한 값이 나오게 됩니다..

저 과정은 생각보다 시간이 오래 걸립니다. 그래서 해커들은 미리 이 과정을 다 해놓은 레인보우 테이블을 가지고 있습니다. 저 안에 내 비밀번호가 있다면? 그리고 내가 가입한 사이트가 털렸다면? 그대로 내 계정은 저들에게 넘어가게 됩니다. 그리고 다른 사이트에 같은 비밀번호로 가입했다면? 뭐 어떡해요 줄줄이 소세지 되는거지.

그래서 우리는 줄줄이 소세지가 되지 않기 위해서 비밀번호를 당장 바꿔야 합니다. 숫자, 대소문자, 특수문자가 모두 포함된 긴 비밀번호로 바꾸고, 사이트마다 다른 비밀번호를 써야 합니다. 그러나 이렇게 하기는 너무 어렵습니다. 그래서 KISA에서는 기본 문자열을 설정하고 사이트마다 특정한 규칙을 적용해 비밀번호를 만드는 방법을 권장하고 있습니다. 또 예를 들면, 기본 문자열을 sa2ke*로 설정한다면 구글에 가입할 때는 sa2ke*rnrmf, 네이버에 가입할 때는 sa2ke*spdlqj 등으로 설정하는 등의 방법을 쓸 수 있습니다.

비밀번호를 변경해 주세요

이렇게 우리가 비밀번호를 당장 바꿔야 하는 이유에 대해 알아보았습니다. 하지만 이 창을 보고도 비밀번호 뒤의 특수문자를 하나씩만 바꾸고 있는 사케였습니다.

각주

각주
1 https://www.security.org/how-secure-is-my-password/
2 https://www.kisa.or.kr/2060305/form?postSeq=14&lang_type=KO
3 test1235를 입력하면 7e263eb7439f020a8e60f454fcd8193ffc071d9f7d54f7260073a4ee8458c23b라는 엉뚱한 값이 나오게 됩니다.