비밀번호 재설정할 때 해킹에 덜 노출된다?

 

 

보통 온라인 쇼핑몰에 회원가입을 하고 빠르면 3개월이나 6개월 이후에는 비밀번호를 재설정하라는 창이 뜨는 것을 볼 수 있습니다. 그러나 우리는 비밀번호를 재설정하기 귀찮아서 넘기거나 다른 비밀번호로 바꾸고 다시 원래 쓰던 비밀번호로 돌아옵니다.

 

그래서 회사 시스템에서는 비밀번호를 변경하지 않으면 로그인 자체가 안되거나 기존에 쓰던 비밀번호를 기억해서 반드시 바꾸게 하는데요. 그래서 뒷 자리 숫자만 바꿔서 사용하기도 하는데, 이렇게 바꾸는게 의미가 있을까 생각이 들 때가 많지요. 그래서 오늘은 비밀번호를 재설정하면 해킹에 덜 노출될지에 대한 주제로 간단히 말씀드려보도록 하겠습니다.

 

비밀번호 변경 페이지, 출처: 머니투데이

사실 이 비밀번호 재설정이 해킹을 막는데 효과적인지에 대한 논쟁은 예전부터 있어왔는데요. 왜 일까를 생각해보면 위에서 말씀드린 것처럼 사용자들이 비밀번호를 항상 동일하게 사용하거나, 원래 쓰던 비밀번호에서 한 자리만 바꾸거나 추가하는 식으로 사용하기 때문이죠.

 

그런데 보안 업계에서는 한 자리만 바꾸더라도 기존 경우의 수보다 더 늘어나기 때문에 좀 더 안전하다는 평가를 하고 있습니다. 예를 들어 "abcde1"에서 "abcde9"로 변경했다면 해커들은 1부터 9까지 모두 대입을 해야 로그인에 성공할 수 있기 때문입니다.

또한 "abcde1"에서 "abcde11"이나 "abcde1!"과 같이 문자 하나를 더 넣어주는 것만으로도 충분한 효과를 볼 수 있다고 합니다. 특히 비밀번호의 자리가 하나 더 증가한다면 기하급수적으로 경우 경우의 수가 늘어나기 때문에 더 안전하다는 의미인데요.

 

보통 무작위 대입(Brute Force) 공격을 통해서 비밀번호를 유추하기 때문에 경우의 수가 늘어나는 것만으로도 좀 더 안전해진다라고 볼 수 있습니다. 거기다 최근에는 비밀번호가 일정 횟수 이상 틀리면 계정을 락(Lock)시키고 사용자에게 알리는 기능도 도입되고 있으니 좀 더 효율적인 방법이 되겠죠.

 

그리고 이전부터 이슈가 되고 있는 크리덴셜 스터핑(Credential Stuffing) 공격을 위해 사이트 별로 비밀번호를 다르게 설정하는 것이 좋은 방안이 될 수 있는데요. 여기서 말하는 크리덴셜이란 계정 정보를 의미하고 스터핑은 다른 사이트에 입력해 보는 것을 의미합니다.

 

만약 모든 사이트에서 비밀번호를 동일하게 사용하는 경우, 한 사이트에서 계정의 비밀번호가 탈취되었을 때 다른 사이트에서 해당 비밀번호를 대입하여 계정을 탈취할 수 있겠죠. 물론 사이트마다 계정의 아이디를 다르게 쓴다면 크게 문제가 없겠지만 보통은 아이디가 같기 때문에, 사이트 별로 비밀번호를 다르게 하는 것이 좋습니다.

 

"어차피 뒷자리만 바꾸는데…" '비번 재설정' 효과 있나요? - 머니투데이

 

그리고 한 가지 더 말씀드리자면, 크롬과 같은 브라우저에서 제공하는 비밀번호 자동 로그인 사용은 지양하시는 것이 좋다고 합니다. 최근에는 자동 로그인 기능을 노리는 악성코드가 많아져서 PC가 해당 악성코드에 감염되면 자동 로그인 기능 정보를 탈취하여 다른 사이트의 계정 정보도 가져갈 수 있기 때문입니다.

 

또한 계속 강조해 왔던 거지만 SMS나 OTP와 같은 2차 인증을 사용하셔야 다른 곳에서 비밀번호가 유출되었더라도 다른 곳에서 계정이 탈취되는 추가 피해를 막으실 수 있습니다. 이 정도만 지키신다면 비밀번호 재설정을 함과 동시에 해킹에 좀 더 안전해지니 꼭 기억하셨으면 합니다. 감사합니다.