저는 이 글을 읽고 있는 당신이 수많은 포털 사이트와 쇼핑몰 혹은 경품을 받기 위해 난생 처음 보는 사이트에 가입해 주민등록 번호를 입력했다는 사실을 알고 있습니다. 혹시 모든 사이트의 비밀번호가 동일하진 않으신가요? 가입하며 입력한 비밀번호가 당신의 개인정보를 지키는 문지기 역할을 하고 있다는 것, 알고 계셨나요?
밑의 사이트를 통해 그 사실을 알아봅시다!
https://howsecureismypassword.net/
테스트 겸 가장 많이 사용하는 안 좋은 비밀번호 순위에 있는 ‘qweasd’를 입력해볼까요?
(qweasd는 키보드 순서대로 눌러서 사용한 경우랍니다)
이미지 출처: 비밀번호 안전검사 사이트
와! Instantly(즉시) 뚫려 버린다는 경고가 뜹니다.
즉시 뚫린다고 하면 정확한 시간을 알 수 없으니 가장 단시간에 뚫리는 비밀번호를 입력해 보았습니다.
이미지 출처: 비밀번호 안전검사 사이트
1을 입력했더니 0.0000000025초가 나오는군요. 즉시라고 하면 이보다 더 빨리 뚫린다는 겁니다.
당신의 비밀번호는 몇 시간이나 버틸 수 있나요?
비밀번호를 뚫기 위한 해커의 전략은?
회원가입시 비밀번호를 입력하면 암호화돼 서버에 저장됩니다.
해커는 이런 정보를 복호화해 당신의 비밀번호를 가져갈 수 있습니다.
암호화 복호화가 뭔지 이해가 잘 안 된다면 밑의 사이트를 방문해 아래 글자를 복사해 입력하고 디코딩 버튼을 눌러봅시다.
|
7JWI64WV7ZWY7IS47JqUIOycpO2Goe2GoSDrp4zsiZB+IQ== |
http://www.convertstring.com/ko/EncodeDecode/Base64Decode
“안녕하세요 윤톡톡 만쉐~!”라는 글자가 나오죠?
하지만 이런 식으로 비밀번호를 저장하는 시대는 지났으니 걱정하지 마세요.
요즘은 단방향 암호화를 사용해 저장합니다. 해시함수를 사용하는 것인데요, 해시함수는 역함수가 존재하지 않기 때문에 서버에 저장된 값으로 절대 당신의 비밀번호를 유추할 수 없습니다!
(그냥 서버에 저장된 값이 안전하다고 생각하면 됩니다)
만약 가입한 사이트에서 비밀번호 찾기를 했더니 “당신의 비밀번호는 abcdef입니다”라고 정확하게 알려준다면 그 사이트는 당장 탈퇴하십시오. 비밀번호는 관리자도 알 수 없어야 하는데 비밀번호 찾기로 바로 알려준다면 의심스러운 사이트입니다!
그래서 해커는 당신의 비밀번호를 뚫기 위해 당신의 생일, 전화번호 등 개인 정보를 모두 활용해 비밀번호 조합을 만들 수밖에 없습니다.
혹은 a, aaa, aaab, aaac… aaaaaaaaaaaaaaaz 이런 식으로 무차별적으로 대입하는데요, Aaaaaaccc 이런 방식 보다는 사전의 단어들을 기준으로 조합하거나 가장 많이 사용하는 비밀번호를 사용해 하나씩 대입합니다.
이런 기억 없으신가요? 친구의 핸드폰 비밀번호를 뚫기 위해 0000~9999까지 입력하며 생일과 1004, 7942, 2580 등의 일반적인 것을 먼저 눌렀던 기억 말이에요. 모두 틀리더라도 시간만 있다면 언젠간 비밀번호를 뚫게 되겠죠? 그래서 아무리 길게 비밀번호를 설정해도 https://howsecureismypassword.net/ 이 사이트에서 뚫지 못한다는 말을 못하는 겁니다.
중요한 것은 해커가 일일이 한 자 씩 입력하지 않는다는 거에요. 프로그램으로 몇 초마다 한 번씩 대입해 자동으로 비밀번호가 수집되도록 한답니다.
자신만의 비밀번호 규칙을 만들어라!
공인인증서나 은행, 카드사의 비밀번호는 무조건 특수문자표+대문자+숫자+소문자의 조합을 사용하고 쇼핑몰과 포털사이트의 비밀번호도 다르게 설정해야 합니다.
저는 가입된 모든 사이트마다 다른 비밀번호를 사용합니다. 어떻게 수많은 사이트의 비밀번호를 기억하고 관리하느냐고요?
비결은 도메인(인터넷주소)에 따라 다르게 설정하는 방법입니다.
이미지 출처: 윤디자인연구소 공식 사이트
예를 들어 www.yoonfont.co.kr에 가입하면 주소 앞에 4자리를 사용합니다.
[ Yoon_2014~parK ]
사용한 규칙
1. 도메인 앞의 4자리
2. 핸드폰 번호, 생일 등의 숫자 4자리
3. 영문이름 4자리
4. 각 단어 사이에 서로 다른 특수 문자 입력
5. 비밀번호 시작과 끝은 대문자
이런 규칙을 정해 놓으면 어떤 사이트에 가더라도 도메인의 4자리만 보고 비밀번호를 유추할 수 있고, 한군데서 비밀번호가 뚫리더라도 다른 사이트는 안전하답니다.
그래도 은행이나 공인인증서 등에는 다른 규칙을 적용해 관리하시길 바랍니다.
그렇다면 방금 보여드린 Yoon_2014~parK 패스워드는 언제 뚫리나 확인해 볼까요?
이미지 출처: 비밀번호 안전검사 사이트
440억 년이나 걸리는군요! 절대 뚫지 못한다고 보면 됩니다.
중요한 것은 보안의식!
당신의 비밀번호는 뚫리는 데 얼마나 걸리셨나요? 아마 대부분이 하루를 넘지 못할 거예요. 보안을 위해 자신만의 규칙을 만들어 비밀번호를 관리해보는 건 어떨까요? 도메인을 활용한 방법을 추천해 드립니다. 도메인은 바뀌지 않으니까요.
여기서 잠깐, 저 사이트에 실제로 사용 중인 비밀번호를 입력하진 않으셨죠?
맙소사! 축하드립니다. 방금 당신이 사용하는 비밀번호는 해커들이 비밀번호를 뚫기 위해 만든 사전에 추가되었습니다! 저라면 당장 모든 비밀번호를 바꿔 놓겠습니다!
농담입니다. 사실 저 사이트를 해커가 그런 목적으로 만들었는지 저는 모릅니다^^:
하지만 가장 중요한 것은 보안의식이니까요.
