안전한 패스워드 관리, 이것만은 꼭 알아두세요
패스워드 관리는 사이버 보안의 핵심 요소 중 하나지만, 여전히 오래된 상식과 잘못된 방법으로 인해 보안 사고의 위험을 높이는 경우가 많습니다. 예를 들어 "패스워드는 정기적으로 변경해야 한다", "특수문자와 숫자를 섞어야 한다"는 전통적인 방식은 이제 더 이상 안전한 방법으로 여겨지지 않습니다. 일본 내각 사이버보안센터(NISC)와 미국 NIST(국립표준 기술연구소)의 최신 가이드라인에 따르면, 이러한 방법은 오히려 사용자를 단순하고 예측할 수 있는 패스워드를 사용하게 만들어 보안성을 약화할 수 있습니다.
1. 패스워드 정기 변경은 오히려 위험하다
특히, 패스워드의 정기적 변경은 가장 흔히 잘못 알려진 방법의 하나입니다. 과거 정보 보안 교육에서는 패스워드를 일정 주기로 변경해야 한다고 강조했지만, 실제로는 이 방식이 사용자를 더 위험한 상황에 빠뜨릴 수 있습니다. NISC가 공개한 "인터넷 안전 가이드"에 따르면, 정기적인 변경은 사용자가 간단한 패스워드로 바꾸거나 복수의 서비스에서 동일한 패스워드를 재사용하게 만들어 보안 사고의 가능성을 높입니다. 예를 들어 "Password"라는 패스워드가 "Password1", "Password1!"과 같은 예측 가능한 패턴으로 변경되기 쉽습니다. 이는 해커가 데이터베이스에 이러한 패턴을 미리 등록해 두고 손쉽게 크랙킹하는 결과를 초래할 수 있습니다.
2. 종이에 적어 관리하는 방법이 의외로 더 안전할 수 있다
종이에 적어 보관하는 방법이 의외로 안전하다는 점도 주목할 필요가 있습니다. 종이 노트는 인터넷에 연결되지 않아 사이버 공격의 위험이 없습니다. 물론, 종이 기록물을 분실하거나 물리적 절도에 주의해야 하지만, 사이버 위협보다는 상대적으로 낮은 리스크를 갖습니다. NISC는 이러한 이유로 종이에 적어 안전한 장소에 보관하거나, 스마트폰 전용 패스워드 관리 앱을 활용할 것을 권장합니다. 단, 스마트폰 앱은 데이터가 클라우드가 아닌 기기 내부에 저장되는 것을 우선해야 하며, 백업이 필수입니다.
※ 패스워드 관리 방법의 장단점
Edge나 Chrome 등 대부분의 웹 브라우저에는 패스워드를 저장하고 자동으로 입력하는 기능이 제공됩니다. 하지만 NISC는 이 기능을 사용하는 것이 위험할 수 있다고 경고합니다. 이유는 컴퓨터를 잠시 자리에 두었을 때 다른 사람이 패스워드를 쉽게 사용할 수 있고, 만약 컴퓨터가 해킹당하면 저장된 패스워드가 모두 유출될 가능성이 높기 때문입니다.
3. 특수문자 강제 조건은 NG
특수문자와 숫자를 섞어야 한다는 규칙 역시 보안에 취약한 결과를 초래할 수 있습니다. NIST의 "디지털 ID 가이드라인"에 따르면, 이런 강제 조건은 사용자에게 예측할 수 있는 패스워드를 만들게 합니다. 실제로 많은 사용자가 복잡한 패스워드를 기억하기 어려워 쉽게 추측할 수 있는 패스워드를 생성하거나, 이를 전자적으로 안전하지 않은 장소에 기록해 두는 일이 발생합니다. 대신, 패스워드는 길게 설정하는 것이 효과적입니다. NIST는 최소 8자 이상을 권장하며, 가능하면 15자에서 64자 이상으로 길게 설정할 것을 추천합니다. 긴 패스워드는 단순하지만, 해킹에 훨씬 강력한 보안성을 제공합니다.
4. 비밀번호 힌트와 비밀 질문은 보안에 취약하다
패스워드 힌트와 비밀 질문 같은 기능은 해커에게 단서를 제공할 가능성이 높아 사용하지 않는 것이 좋습니다. "어머니의 결혼 전 성은?" 같은 질문은 쉽게 검색 할 수 있는 정보로, 보안 강화보다 위험을 초래할 가능성이 큽니다. 이와 같은 이유로 NIST는 이러한 기능을 웹 서비스에서 제거할 것을 권고합니다.
5. 인터넷 안전을 위한 자료 참고
패스워드 관리뿐만 아니라 전반적인 사이버 보안 지침을 숙지하는 것이 중요합니다. NISC는 "인터넷 안전·안심 핸드북"을 통해 패스워드 관리 외에도 사이버 보안의 기본 원칙, SNS 안전 사용법 등 다양한 정보를 제공합니다. 이 핸드북은 무료로 다운로드할 수 있어 누구나 쉽게 접근할 수 있습니다. NIST 역시 2024년에 개정된 "디지털 ID 가이드라인(SP 800-63-4)"을 통해 최신 보안 기술과 정책을 제시하고 있습니다.
안전한 패스워드 관리의 핵심은 복잡성 대신 실질적인 보안성과 사용성을 고려하는 것입니다. 최신 가이드라인을 따르고, 단순하지만 효과적인 방법으로 보안을 강화해 안전한 디지털 환경을 유지하세요. 패스워드는 단순히 문자 조합이 아니라, 우리의 개인 정보와 디지털 자산을 보호하는 첫 번째 방어선임을 항상 기억해야 합니다.
*참고 자료 : @GIgaZine0927
기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있는 마크애니가 궁금하시다면?
아래 이미지를 눌러 마크애니 보안 솔루션을 더 자세히 살펴보세요.
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임했고 아주대학교 사이버보안학과 교수로 재직했다.
안전한 패스워드 관리, 이것만은 꼭 알아두세요
패스워드 관리는 사이버 보안의 핵심 요소 중 하나지만, 여전히 오래된 상식과 잘못된 방법으로 인해 보안 사고의 위험을 높이는 경우가 많습니다. 예를 들어 "패스워드는 정기적으로 변경해야 한다", "특수문자와 숫자를 섞어야 한다"는 전통적인 방식은 이제 더 이상 안전한 방법으로 여겨지지 않습니다. 일본 내각 사이버보안센터(NISC)와 미국 NIST(국립표준 기술연구소)의 최신 가이드라인에 따르면, 이러한 방법은 오히려 사용자를 단순하고 예측할 수 있는 패스워드를 사용하게 만들어 보안성을 약화할 수 있습니다.
특히, 패스워드의 정기적 변경은 가장 흔히 잘못 알려진 방법의 하나입니다. 과거 정보 보안 교육에서는 패스워드를 일정 주기로 변경해야 한다고 강조했지만, 실제로는 이 방식이 사용자를 더 위험한 상황에 빠뜨릴 수 있습니다. NISC가 공개한 "인터넷 안전 가이드"에 따르면, 정기적인 변경은 사용자가 간단한 패스워드로 바꾸거나 복수의 서비스에서 동일한 패스워드를 재사용하게 만들어 보안 사고의 가능성을 높입니다. 예를 들어 "Password"라는 패스워드가 "Password1", "Password1!"과 같은 예측 가능한 패턴으로 변경되기 쉽습니다. 이는 해커가 데이터베이스에 이러한 패턴을 미리 등록해 두고 손쉽게 크랙킹하는 결과를 초래할 수 있습니다.
종이에 적어 보관하는 방법이 의외로 안전하다는 점도 주목할 필요가 있습니다. 종이 노트는 인터넷에 연결되지 않아 사이버 공격의 위험이 없습니다. 물론, 종이 기록물을 분실하거나 물리적 절도에 주의해야 하지만, 사이버 위협보다는 상대적으로 낮은 리스크를 갖습니다. NISC는 이러한 이유로 종이에 적어 안전한 장소에 보관하거나, 스마트폰 전용 패스워드 관리 앱을 활용할 것을 권장합니다. 단, 스마트폰 앱은 데이터가 클라우드가 아닌 기기 내부에 저장되는 것을 우선해야 하며, 백업이 필수입니다.
※ 패스워드 관리 방법의 장단점
Edge나 Chrome 등 대부분의 웹 브라우저에는 패스워드를 저장하고 자동으로 입력하는 기능이 제공됩니다. 하지만 NISC는 이 기능을 사용하는 것이 위험할 수 있다고 경고합니다. 이유는 컴퓨터를 잠시 자리에 두었을 때 다른 사람이 패스워드를 쉽게 사용할 수 있고, 만약 컴퓨터가 해킹당하면 저장된 패스워드가 모두 유출될 가능성이 높기 때문입니다.
특수문자와 숫자를 섞어야 한다는 규칙 역시 보안에 취약한 결과를 초래할 수 있습니다. NIST의 "디지털 ID 가이드라인"에 따르면, 이런 강제 조건은 사용자에게 예측할 수 있는 패스워드를 만들게 합니다. 실제로 많은 사용자가 복잡한 패스워드를 기억하기 어려워 쉽게 추측할 수 있는 패스워드를 생성하거나, 이를 전자적으로 안전하지 않은 장소에 기록해 두는 일이 발생합니다. 대신, 패스워드는 길게 설정하는 것이 효과적입니다. NIST는 최소 8자 이상을 권장하며, 가능하면 15자에서 64자 이상으로 길게 설정할 것을 추천합니다. 긴 패스워드는 단순하지만, 해킹에 훨씬 강력한 보안성을 제공합니다.
패스워드 힌트와 비밀 질문 같은 기능은 해커에게 단서를 제공할 가능성이 높아 사용하지 않는 것이 좋습니다. "어머니의 결혼 전 성은?" 같은 질문은 쉽게 검색 할 수 있는 정보로, 보안 강화보다 위험을 초래할 가능성이 큽니다. 이와 같은 이유로 NIST는 이러한 기능을 웹 서비스에서 제거할 것을 권고합니다.
패스워드 관리뿐만 아니라 전반적인 사이버 보안 지침을 숙지하는 것이 중요합니다. NISC는 "인터넷 안전·안심 핸드북"을 통해 패스워드 관리 외에도 사이버 보안의 기본 원칙, SNS 안전 사용법 등 다양한 정보를 제공합니다. 이 핸드북은 무료로 다운로드할 수 있어 누구나 쉽게 접근할 수 있습니다. NIST 역시 2024년에 개정된 "디지털 ID 가이드라인(SP 800-63-4)"을 통해 최신 보안 기술과 정책을 제시하고 있습니다.
안전한 패스워드 관리의 핵심은 복잡성 대신 실질적인 보안성과 사용성을 고려하는 것입니다. 최신 가이드라인을 따르고, 단순하지만 효과적인 방법으로 보안을 강화해 안전한 디지털 환경을 유지하세요. 패스워드는 단순히 문자 조합이 아니라, 우리의 개인 정보와 디지털 자산을 보호하는 첫 번째 방어선임을 항상 기억해야 합니다.
*참고 자료 : @GIgaZine0927
기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있는 마크애니가 궁금하시다면?
아래 이미지를 눌러 마크애니 보안 솔루션을 더 자세히 살펴보세요.
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임했고 아주대학교 사이버보안학과 교수로 재직했다.