📌 먼치 POINT

✅ 패스워드
- 가장 흔히 사용되는 1세대 암호
- 다수의 사용자 간에 공유되기도 하며, 보안 수준이 높은 시스템에서도 여전히 활용
- 보안의 중요도에 따라 적절한 수준의 패스워드를 설정, 차등 적용

✅ 안전한 패스워드
- 인간은 무작위로 만들어진 난수를 기억하는 것은 어려움
- 일정한 규칙이나 개인적 연상에 기반하여 배열된 패스워드는 기억에 용이
- 구성 요소 간 상관성이 낮은 패턴을 각자의 방식으로 생성
- 패스워드를 자주 변경할 경우, 기억을 위한 단순화가 발생하여 보안성이 저하

1세대 암호 패스워드

암호를 종류별로 분류해보면 1세대부터 4세대까지 나눌 수 있습니다. 오늘은 이 중에서 가장 흔히 사용되는 1세대 암호인 패스워드에 대해 자세히 알아보겠습니다. 패스워드를 사용하지 않는 분들은 거의 없을 것입니다. 패스워드의 원형을 찾아보면 알리바바와 40인의 도적에 나오는 "열려라 참깨"를 들 수 있습니다. 이미 3천 년 전부터 이런 패스워드가 사용되어 왔습니다. 하지만 패스워드가 완벽히 안전하다고 하기는 어렵습니다.

패스워드 관리의 기본 원칙 🔑

편리하면서도 안전한 암호를 만드는 것은 쉽지 않습니다. 다소 조금 덜 불편한 암호를 만드는 방법은 있습니다. 암호를 만들 때 모든 웹사이트에 다 다르게 하기는 쉽지 않기 때문에 같은 암호로 돌려서 쓰기 마련입니다. 여기서 주의해야 할 점은 안전도가 다른 두 웹사이트에 같은 패스워드를 사용하면 안 된다는 것입니다. 취미로 보는 중요하지 않은 웹사이트에 로그인하는 패스워드를 은행 같은 중요한 곳에 사용해서는 안 됩니다. 그런 웹사이트는 그렇게 안전하게 관리하지 않을 가능성이 높고 자주 해킹을 당하기 때문입니다.

때때로 패스워드를 공유하는 경우도 있습니다. 넷플릭스 패스워드를 가족끼리 공유하는 것처럼 말입니다. 하지만 그런 패스워드와 중요한 은행 비밀번호 같은 것을 공유하면 안 됩니다. 관리해야 하는 패스워드를 클래스로 나누어서 안전 등급이 높아야 하는 패스워드는 정말 어렵고 중요한 것을 사용하고, 자주 쓰는 덜 위험한 곳에 쓰는 패스워드는 좀 쉬운 것을 사용해도 됩니다.

인간은 왜 패스워드를 기억하기 어려워할까?

인간은 짧은 패스워드도 기억하기 어려워합니다. 인간의 능력이 난수를 기억하는 데에는 별로 특화되어 있지 않기 때문입니다. 진화 과정에서 무작위로 만들어진 수를 기억하는 데는 인간이 그렇게 뛰어난 능력을 가지고 있지 않습니다. 

그렇다면 인간이 기억을 잘하는 것은 무엇일까요? 의미가 통하는 말, 그리고 어떤 법칙에 따라서 순서대로 배열된 수 이런 것들입니다. 하지만 이런 것들은 패스워드로 사용하지 말라고 권장됩니다. 예를 들어 패스워드를 길게 쓰겠다고 해서 "동해물과 백두산이 마르고 닳도록"이라고 하면 굉장히 길지만 안전하지 않습니다. 처음에 "동해"만 추정하면 나머지는 어떤 것인지 알게 되기 때문입니다.

기억하기 쉬우면서도 안전한 패스워드 만들기 🔒

그렇다면 어떻게 기억하기 쉬우면서도 안전한 패스워드를 만들 수 있을까요? 한 가지 방법을 제시해보겠습니다.예를 들어 "ㅇㅈㅇㄱㅇㅈㄷㄹㅇㅂㅍ"라는 패스워드를 만들어봅시다. 이것은 무엇일까요? 이것은 개인적으로 좋아하는 것들의 초성을 모은 것입니다. 재미있게 보았던 "오징어 게임", 요즘 꽃이 많이 피어 있는 "진달래", 그리고 "블랙핑크"의 초성을 조합한 것입니다.

이런 방식으로 만든 패스워드는 본인에게는 기억하기가 매우 쉽습니다. 그리고 내년에는 또 다른 드라마로 바꾸면 됩니다. 이 암호는 수학적으로 분석해보면 꽤 어려운 패스워드라고 볼 수 있습니다. 비밀 키를 만들 때 쓰는 암호학적 원리 중 하나가 무작위로 수를 만든 다음에 그 수들에서 일부를 탈락시켜서 만드는 것인데, 실제로 그런 원리를 적용한 것이기 때문입니다.

무질서도가 높은 암호처럼 보이는 이유는 상관관계가 전혀 없기 때문입니다. 패스워드를 만들 때 영어, 숫자, 특수기호를 의무적으로 포함하라는 요구사항이 있을 때도 동일하게 이런 방식을 활용할 수 있습니다. 특수 문자를 넣으라고 하면 자신만의 방식으로 넣을 수 있습니다. 예를 들면 "오징어 게임 22 진달래" 같은 식으로 말입니다. 각자의 방식을 넣을수록 더 안전해집니다.

패스워드를 자주 바꾸는 것이 정말 안전할까?

패스워드를 자주 바꾸면 상대적으로 안전할까요? 단순하게 계산하면 그럴 것 같지만, 흥미롭게도 2013년에 마이크로소프트에 있는 사회학을 전공한 연구자가 연구한 결과에 따르면 놀랍게도 그렇지 않다는 결과가 나왔습니다. 그 이유는 인간의 특성 때문입니다. 사람은 패스워드를 자주 바꾸게 되면 그것이 불편하니까 편리하게 보완하려는 다른 노력을 합니다. 즉 적어놓는다든지 쉽게 만든다든지 하는 것입니다. 실제로 패스워드를 처음 만들 때는 매우 공들여 만들었는데 그다음에는 조금만 바꾸면서 만드는 분들이 많이 있습니다. 이런 방식으로는 안전하지 않다는 것이 증명되었습니다.

그런데 왜 수많은 사이트들에서는 계속해서 "이제 바꿀 때가 되었습니다. 바꾸세요"라고 귀찮게 할까요? 실제로 초기에 패스워드에 대한 규칙을 만드는 연구자가 90일에 1번씩 바꾸라는 룰을 만들어서 배포했었는데, 굉장히 오랜 시간이 지났음에도 사람들이 그 룰이 전파되어 따르면서 그런 일이 일어났습니다. 그걸 처음 만든 분은 후회한다는 인터뷰도 했습니다만, 이미 너무 세상에서 많이 사용되고 있는 상황입니다.

마무리하며

1세대 암호인 패스워드는 3천 년 전부터 사용되어 온 가장 기본적인 보안 방법입니다. 완벽히 안전하지는 않지만, 올바른 원칙을 따라 관리한다면 충분히 유용한 보안 도구가 될 수 있습니다. 안전도에 따라 패스워드를 분류하여 관리하고, 개인만의 창의적인 방법으로 기억하기 쉬우면서도 안전한 패스워드를 만드는 것이 중요합니다. 그리고 무작정 자주 바꾸는 것보다는 신중하게 만들어서 적절히 관리하는 것이 더 안전하다는 점을 기억해야 합니다.

Created by 카오스 사이언스
CC BY 라이선스 / 교정 SENTENCIFY / 편집자 하윤아