보안에는 크게 도움이 되지 않는다는 복잡한 비밀번호

인터넷 사이트에서 비밀번호를 생성할 때 최대한 어렵게 설정하라는 문구를 보고 영어 대소문자에 특수문자까지 사용하는 경우가 많다.

하지만 이런 식으로 설정을 해도 보안에는 크게 도움이 되지 않는다고 하는데..

“해킹을 당하고 싶지 않으면 대문자, 소문자, 숫자, 특수문자를 이용해 패스워드를 만들어라” 라고 말한 사람이 있다.

그의 이름은 ‘빌 버’ 이런 패스워드 생성 규칙을 만든 사람이다.

그는 2003년 미국 국립 표준 기술연구소에서 일하던 당시 만들었던 보고서가 있었는데, 계정을 보호하기 위해 지켜야 할 패스워드 생성 규칙을 담고 있는 내용이었다.

이 문서는 미국의 정부, 대기업 등 곳곳에 퍼졌고 패스워드 가이드라인으로 자리 잡았다.

우리나라도 대부분 이를 따르고 있다.

많은 사람들이 자주 사용하는 패스워드를 떠올려보자.

대문자, 소문자, 숫자, 특수문자가 포함되어 있다.

그런데 이 규칙을 만든 빌 버의 충격 고백 “난 내가 한 일에 대해 많이 후회하고 있다.”

그가 만든 규칙들이 보안 수준을 높이는 데에 별 도움이 안 되는 것으로 밝혀졌기 때문이다.

특수문자나 숫자를 조합해 입력하라는 것은 암호를 복잡하게 만들어 해커들이 해킹하기 어렵게 하려는 목적이었다.

예상과 다르게 사람들은 특수문자를 섞기는 섞는데 매우 단순한 방법으로 패스워드를 만들기 시작한 것.

끝에 느낌표를 붙이거나 물음표를 추가하는 방식으로 단순하게 만드는 사람이 많다.

90일마다 패스워드를 바꾸는 것 역시 대부분 끝자리 하나만 바꾸는 등 큰 변화 없이 이뤄져 효과가 없었다.

해킹 시도의 흔적을 발견했을 때, 패스워드를 바꾸는 것만으로도 충분하다는 뜻이다.

그렇게 빌 버가 만든 규칙은 보안에 큰 도움이 안 되는 데다가 괜히 기억하기만 어려워졌을 뿐 입력하기에도 불편하다는 평가를 받는다.

결국 10여 년 뒤 모든 것이 바뀌게 된다.

한국 인터넷 진흥원 역시 패스워드 생성 가이드라인을 수정했다.

3종류 이상의 문자를 섞어 8자리 이상의 패스워드를 만드는 것에서 2종류 이상의 문자만 섞는 것으로.

또한 10자리 이상의 패스워드를 만들 경우 문자를 섞지 않아도 된다는 내용으로 바뀌게 된다.

사용자 입장에서는 더 편해졌다, 혹시나 당신은 빌 버의 규칙대로 암호를 입력하느라 허비한 시간이 아깝게 느껴지는가?