아주 중요해서 잊어버릴 수 없는 몇 개를 제외하면, 나는 엑셀에 정리한다. 지금은 58개다. 가입한 온라인 사이트마다 제각각인 아이디와 패스워드 얘기다. 그나마 많이 줄였다. 한때 쓰다 탈퇴한 계정을 포함하면 127개다. 가입 자체를 잊어버려 적어놓지 못한 사이트를 헤아리면 더 많을 것이다. 굳이 엑셀을 쓰는 이유는 사이트마다 무슨 아이디와 패스워드를 썼는지 종종 기억할 수 없어서다.
명색이 '사이버보안 담당' 기자가 이러고 있어도 되나 싶다. 차분하게 더 안전한 방법을 생각해 보자. 첫째, 실제로 수십개 사이트마다 아이디와 패스워드를 중복 없이, 전혀 다르게 만든다. 둘째, 혹시 남이 보거나 유출당할 수 있으니까, 아무 데도 적어 놓거나 저장하지 않는다. 셋째, 사이트에서 바꾸라고 할 때마다 패스워드를 꼬박꼬박 바꾼다. 넷째, 절대 잊어버리지 않는다.
다만 이게 '암기왕'에게나 어울리는 비현실적 전략이라는 문제가 남는다. 어디에도 기록하지도 못하는 최소 수십가지의 사이트, 아이디, 패스워드 조합을 일일이 기억하고 그때그때 떠올려 쓸 자신이 없다. 패스워드를 단순하게 쓰지 말고 로마자 알파벳 대·소문자, 숫자, 특수문자를 조합해 만들고, 그마저 오랜만에 로그인할 때마다 바꾸라고 강요하기까지 하는 사이트 정책은 이 전략의 실효성을 더욱 떨어뜨린다.
기억력이 썩 좋지 않은 나로선 엑셀에 정리하지 않고 그만치 계정을 관리할 재간이 없다. 부담을 덜되 좀 더 세련된 방법을 찾자면 '원패스워드'나 '라스트패스'같은 관리프로그램을 쓸 수야 있겠다. 하지만 이 관리프로그램이 해킹된다면 엑셀 파일 내용을 도둑맞은 것이나 다름없다. 관리프로그램 쪽이 상대적으로 안전하다 쳐도, 왜 개인이 패스워드 관리 부담을 이렇게까지 져야 하느냐는 의문은 남는다.
10여년의 인터넷 사용과 개인정보 유출에 관한 경험을 돌이켜 보자. 처음부터 내 계정 하나만을 훔치려고 누군가 패스워드를 알아내고 단지 그것만으로 피해를 입힌 적이 과연 있었나. 기억나지 않는다. 반면 언젠가 자고 일어나보니 가입한 사이트가 해킹을 당해 여러 사람의 개인정보가 유출됐고, 내가 그 중 하나였던 경험은 거의 전국민이 공유하고 있을 것이다.
하라는대로 다 했다고 치자. 사이트마다 다른 아이디와 패스워드를 쓰고, 패스워드는 여러 종류 문자를 조합하되 바꾸랄때마다 바꾸고. 그래봤자 사용자 기기가 악성코드에 감염됐거나 사이트와 평문으로 통신한다면, 아무리 좋은 패스워드도 가로채일 수밖에 없다. 그보다 더 흔한 상황은 사이트가 해킹되는 것이다. 이 순간 수많은 개인의 노력은 부질없어진다.
국내 민간과 공공 부문에 구축된 절대다수 온라인서비스의 패스워드 관리 정책은 이런 문제를 외면한다. 정작 유출당한 개인정보는 바꾸지도 못하는데, 내가 잘못한 것도 없이 유출된 패스워드는 어떻게든 복잡한 문자를 조합해 만들라고 한다. 유출되지 않아 계속 써도 될만한 패스워드조차 때가 됐으니 버리고 새로 만들란다. 정보유출 피해 배상엔 인색하면서 평상시 관리 책임만 개인에게 떠넘기는 모양새다.
왜 이렇게 됐나. 이런 패스워드 관리 규칙을 담은 국내 각 기관별 보안기준과 산업 규제 성격의 지침 및 가이드라인 때문이다. 사실 이런 내용이 강제조항인 경우는 드물다. 하지만 제도가 아니라 문화에 강제성이 있다. 대다수 보안담당자는 지침의 예시를 따르다가 큰 문제를 당했을 때 질 책임보다, 그 틀을 벗어났을 때 작은 문제로 추궁당할 부담을 더 걱정한다. 더러는 틀이 없어 재량을 발휘하는 상황조차 꺼린다.
그간 취재를 하면서 만난 보안전문가들은 대체로 이처럼 복잡하고 성가신 패스워드 관리 규칙이 사용성을 떨어뜨리면서 보안효과의 실익은 크지 않다는 걸 인정하는 분위기다. 오히려 이를 암묵적 또는 명시적으로 강제하는 국내 관련 제도, 지침, 가이드라인이 바뀌어야 한다고 목소리를 높이는 이들도 있다.
극단적으로 생각해봐도 애초에 특정한 문자 조합을 강제하는 것보다, 강제성 없이 자유롭게 모든 조합을 쓸 수 있는 패스워드를 지원하는 환경이 더 많은 경우의 수를 지원한다. 실제로 계정 탈취를 목적으로 행하는 무작위대입공격이나 사전공격으로부터 확률상 더 안전하다. 결국 인터넷 사용자더러 패스워드를 어떻게 관리하라고 간섭하는 명분으로 보안 효과를 주장하는 건 솔직하지 않은 얘기로 들린다.
지난해 미국 국립표준기술연구소(NIST)가 일련번호 'SP800-63'이라는 문서를 개정하면서 문제의 패스워드 관리 정책을 삭제했다. 더 이상 사용자에게 강제로 복잡한 문자를 조합한 패스워드를 만들게 하고 정기적으로 변경하게 하지 말라는 취지였다. 국내 보안전문가들이 지적한대로 사용성을 떨어뜨리는 정책의 보안효과를 맹신할 수 없다는 반성이 있었던 셈이다.
관련기사
- 정부 '패스워드 가이드' 10년만에 바뀐다2018.11.08
- 패스워드 없는 웹, 실리콘밸리에서 시동2018.11.08
- 트위터 로그에서 패스워드 노출 버그 발견2018.11.08
- 패스워드 없는 사이트 가입-로그인 실현되나2018.11.08
국내서도 이런 변화를 기대할 수 있을까. 마침 기회가 온 듯하다. 사실 국내 공공과 민간 온라인서비스의 패스워드 관련 정책은 기존 SP800-63 문서를 상당히 참고한 결과물이다. 특히 중앙행정기관 보안기준과 민간 보안관련 지침, 인증제도에 인용된 패스워드 관련 규칙의 출처는 10년전 발간된 '패스워드 선택 및 이용 안내서'인데, 한국인터넷진흥원(KISA)이 연내 개정을 예고했다. [☞관련기사 바로가기]
일정 수준 이상의 번거로움과 불편을 감당할 수 없는 인간의 한계를 무시한 채 이상적인 효과만을 바라는 건 무리한 일이다. 일반 사용자에게 복잡한 패스워드 관리를 강제하는 보안 지침이나 기준은 연내 개정될 KISA 안내서를 시작으로 폐기돼야 한다. 공공과 민간 온라인서비스 환경에서 이용자 부담을 줄이면서 더 실효성있는 보안 정책이 확산하길 기대한다.
