보안

위협받는 ‘우리집’··· “패스워드 변경하셨나요?”

이종현
[디지털데일리 이종현기자] 초연결 사회다. 인공지능(AI)과 사물인터넷(IoT)의 발달로 PC와 스마트폰뿐만 아니라 보일러, 청소기, 냉장고, 홈카메라, 전구 등에 이어 자동차까지도 연결되고 있다. IoT 기기의 확산으로 국민 편의성은 매우 높아지고 있다. 하지만 편의성에 비해 보안은 뒷전으로 밀리며 ‘우리집’의 안전이 위협받고 있다는 지적이 제기된다.

보안업계 관계자는 가정 보안을 위해 첫 번째로 해야 할 것으로 ‘패스워드 관리’라고 입을 모은다. 특히 중요한 것은 공유기다. 과거에 비해 공유기에 접속되는 기기가 다양해지면서 패스워드 관리가 꼭 필요하다는 게 그의 설명이다.

공유기가 해킹될 경우 악성코드에 노출된다. 여러 기기가 접속되는 특성상 공유기에 접속되는 기기들의 정보도 유출될 수 있다. 공유기에 설정된 ‘도메인네임시스템(DNS)’ 주소를 변조해 가짜 사이트로 접속되도록 하는 위협에도 노출된다.

가짜 사이트로의 접속은 계좌번호 등 금융정보 유출로 직접 이어질 수 있는 만큼 위험성이 높다. 하지만 이처럼 심각한 사안이 아니더라도 이용자가 사용하는 아이디와 패스워드를 파악하는 데도 쓰인다.

일반 이용자의 경우 대다수가 여러 사이트에 유사한 아이디·패스워드를 사용하기 때문에 자주 사용하는 아이디와 패스워드의 유출은 치명적인 개인정보 유출로 이어질 수 있다. 지난달 발생한 ‘연예인 스마트폰 정보유출’이 그 예다. 해당 사건은 아이디·패스워드를 얻은 해커가 클라우드에 불법 접속해 정보를 빼낸 것 아니냐는 의심을 받고 있다.

일반 가정에서 기업·기관 수준의 보안체계를 구축할 수는 없다. 또 그럴 필요도 없다. 다수 보안 전문가들은 “펌웨어가 업데이트되는 공유기를 사용하는 것과 계정·패스워드를 변경하는 것으로 충분한 보안 효과를 누릴 수 있다”고 조언했다.

패스워드 보안성을 높이는 방법은 간단하다. 길게, 다양한 문자를 사용하는 것이다.

최신 PC의 경우 1분에 5000만~1억개의 패스워드 조합을 무차별 대입할 수 있는 것으로 알려졌다. 알파뱃 소문자 26자로 8자리 패스워드를 구성할 경우 경우의 수(26^8)는 2088억개다. 이를 무차별 대입해 알아내려면 이틀가량의 시간이 걸린다. 여기에 대소문자에 숫자를 추가할 경우 가능한 경우의 수(62^8)는 약 218조개가 된다. 최신 컴퓨터로 이를 무차별 대입할 경우 6년가량 소요된다. 해커 입장에서는 일반 가정의 PC를 공격하기에는 메리트가 없는 시간이다.

다양한 문자를 길게 조합할수록 안전한 것은 명백하다. 하지만 무작정 길게 설정할 수는 없다. 정작 본인도 패스워드를 기억하지 못해 접속 때마다 ‘비밀번호 찾기’나 ‘초기화’를 하는 ‘웃픈’일이 생길 수도 있기 때문이다. 한국인터넷진흥원(KISA)는 ‘두 종류 이상의 문자구성과 8자리 이상의 길이로 구성된 패스워드’ 혹은 ‘10자리 이상의 길이로 구성된 패스워드’를 사용하라고 안내하고 있다.

또 해커가 패스워드를 ‘무차별 대입’하는 게 아니라 패스워드로 사용할 만한 사전을 이용해 ‘사전 공격’을 하거나 사용자 이름을 이용해 패스워드 조합을 대입하는 ‘추측 공격’한다면 긴 패스워드라도 쉽사리 뚫릴 수 있다. 가령 ‘123456789’는 숫자를 이용한 9자리이므로 10억개의 경우의 수(10^9)를 지니지만 흔히 사용되는 패스워드인 만큼 사전 공격을 할 경우 1초 이내에 뚫릴 수도 있다.

보안업계 관계자는 “기존에는 패스워드 보호를 ‘사용자가 잘 관리해야 하는 것’으로 인식하는 경향이 강했다. 자연히 관련 기술도 크게 관심받지 못했다”며 “최근에는 디지털 ID의 중요성이 높아지면서 아이디·패스워드 외에 생체 인식이나 ‘일회용패스워드(OTP)’ 등을 이용한 ‘멀티팩터 인증’이 주목받고 있는 상태”라고 설명했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널