많은 사용자들이 생각보다 비밀번호 관리에 무심하다. 비밀번호 보안을 향상시키는 방법은 그리 어렵지 않은데도 말이다. 최근 계정 탈취 문제가 잇따라 발생하면서, 비밀번호를 정기적으로 바꾸거나 강력한 비밀번호를 사용하는 것만으로는 충분하지 않다. 2단계 인증, 생체인증, 패스키 등 기존 방식보다 더 강력한 보안 수단을 사용하는 것이 안전하다. 비밀번호 보안을 빠르고 간편하게 강화할 수 있는 방법으로는 어떤 것들이 있는지 알아보자.

지난 한 해 동안 비밀번호 공격이 10배 이상 증가하고 전 세계적으로 초당 최대 4천 건의 비밀번호 공격이 발생한 것으로 나타났다. 사용자 비밀번호의 취약성이 더 두드러지고 있음에도 기업들은 민감한 정보를 보호하는 데 여전히 비밀번호만 사용하며 위험성을 과소 평가하고 있다는 지적이 나오고 있다.

디지털 시대에 비밀번호는 아무리 강조해도 지나치지 않다. 비밀번호는 사용자가 온라인 계정에 접근할 수 있는 열쇠이기 때문이다. 비밀번호만 잘 지켜도 자산과 정보의 유출을 막을 수 있다. 그런데 가입한 사이트나 커뮤니티의 보안 시스템은 비밀번호를 안전하게 지켜주지 못한다. 해커들은 비밀번호를 쉽게 유추해 내거나, 크래킹 툴을 사용해 침입할 수 있다. 따라서 비밀번호를 지금보다 더 강력하게 바꾸고 철저히 관리해야 한다.

비밀번호를 안전하게 보호할 수 있는 방법은 아래와 같다.

1.     강력한 비밀번호 사용

당연한 것이지만 비밀번호는 대소문자, 숫자, 특수문자를 모두 포함해 최소 12자 이상으로 만드는 것이 좋다. 대문자와 소문자를 혼합하고, 0부터 9까지의 숫자와, !, @, #, $, %, ^, &, *, (, ) 등의 특수문자를 포함한다. 이때 개인정보나 흔한 단어 사용은 금물이다. 문구 기반 비밀번호를 추천하는데 문장을 조합해 기억하기 쉽고 복잡한 비밀번호를 생성할 수 있다. 예를 들어,  Th1s!sMyStr0ngP@ssw0rd처럼, 유추 가능하면서도 아무나 모방할 수 없도록 해야 한다.

2.     2단계 인증(2FA) 활성화

2단계 인증은 비밀번호 외에 추가적인 보안 단계를 제공한다. 로그인 시 추가적인 코드나 인증 앱(SMS, 앱 알림, 구글 Authenticator, Authy)을 통해 보안을 강화할 수 있다. 주로 휴대폰이나 OTP처럼 물리적으로 하나만 존재할 수 있거나, 한정된 방법으로만 접근할 수 있는 수단으로 인증을 한다. 따라서 아무나 인증 수단에 접근할 수 없다.

3.     비밀번호 관리자 사용

웹 사이트나 앱마다 비밀번호를 다르게 설정하다 보면 당연히 비밀번호를 헷갈릴 수밖에 없다. 가장 위험한 것이 같은 아이디를 여러 사이트에 돌려쓰는 경우다. 보안이 취약한 사이트에서 해킹 당하면 동일한 아이디와 비밀번호를 쓰는 다른 계정도 해킹될 수 있다. 비밀번호 관리자는 복잡한 비밀번호를 생성하고 안전하게 저장하는 데 도움을 준다. LastPass, 1Password, Bitwarden 같은 툴로 안전하게 비밀번호를 저장하고 생성할 수 있는데, 자동 생성 기능, 저장 및 자동입력 기능, 다중기기 동기화 기능 등을 제공한다.

4.     주기적 비밀번호 변경

비밀번호는 정기적으로 변경하는 것이 좋다. 일반적으로 3개월마다 변경하는 것이 좋고, 최대 6개월에 한번은 바꿔줘야 한다. 심지어 비밀번호 변경은 법률에도 명시돼 있다. 전자금융감독규정 제35조 제4호에서 규정하고 있다. 이 규정에 따르면, 전자금융거래의 안전한 수행을 위해 이용자에게 본인확인 절차를 거쳐 비밀번호 변경이 가능하도록 정보처리 시스템을 구축하고, 비밀번호 변경 시 같은 번호를 재사용하지 않도록 할 것을 준수하도록 공지해야 한다. 또한, 금융회사 등은 특별한 사정이 없는 한 자체 비밀번호 관리보호 체계, 이용자 보호제도 등을 고려해, 재사용이 금지되는 동일한 번호의 범위를 정하고, 선량한 관리자로서 주의를 다해야 한다. 비밀번호 변경 주기에 대한 명확한 규정은 없지만, 일부 시스템에서는 분기별 1회 이상 비밀번호를 변경하도록 권장하고 있다.

5.     생체인식 활용

생체인식은 지문, 홍채 등 인간의 신체 부위를 인식해서 본인 인증을 하는 기술이다. 생체인식을 활용하면 비밀번호 등 별도의 인증키를 가지고 다니거나 외울 필요가 없다. 문제는 생체인식이 100% 정확하지 않다는 점이다. 인간의 몸은 매일 바뀌며, 심지어 컨디션에 따라 하루 사이에도 조금씩 바뀔 수 있기 때문이다. 따라서 데이터의 유출은 매우 치명적일 수 있다. 안면 인식의 경우 눈동자 사이의 거리, 골격의 정점 등으로 판단하는데 일란성 쌍둥이나 생김새가 많이 닮은 직계 가족의 경우에도 뚫릴 수 있다.

6.     패스키 활용

패스키는 비밀번호를 대체할 목적으로 만들어진 로그인 시스템으로, 구글, 애플, 마이크로소프트 등이 패스키를 지원한다. 패스키를 지원하는 웹 사이트에서 패스키를 생성하면 패스키는 장치의 비밀번호 관리자에게 저장되고, 로그인 시 패스키로 로그인을 선택하면 브라우저나 운영체제(OS)가 비밀번호 관리자에 저장되어 있는 패스키를 요청하게 된다. 만약 패스키가 없을 경우 QR코드를 띄워서 스마트폰으로 스캔해서 인증하면 로그인이 된다. 스마트폰과 생체인증, 비밀번호 관리자, 비밀번호 동기화 시스템 등이 결합된 방식이라고 할 수 있다.