보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

기억하기 쉬운 안전한 비밀번호를 설정하는 방법

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2015-09-16

지난 시큐리티레터 588호 ‘비밀번호를 바꾸지 않는 그대를 위한 변명’과 589호 ‘안전한 비밀번호를 사용하고 있나요?’를 통해 몇 년 째 바꾸지 않고 쓰는 비밀번호가 얼마나 보안에 취약한지 알게 됐다면 이제 비밀번호를 더욱 안전한 비밀번호로 바꿀 차례다. 그런데 어떤 비밀번호로 바꿔야 안전할지는 여전히 감이 오지 않는다. 대/소문자와 숫자, 특수문자를 넣어서 길게 만들라는데 그렇다고 무턱대고 만든 복잡한 문자의 구성을 기억할 자신도 없다. 이런 이들을 위해 기억하기 쉽고 안전한 비밀번호 만드는 방법을 제안한다.

 

<연재 목차>

1. 비밀번호를 바꾸지 않는 그대를 위한 변명 (시큐리티레터 588호)

2. 안전한 비밀번호를 사용하고 있나요?​ (시큐리티레터 589호​)

3. 기억하기 쉬운 안전한 비밀번호를 설정하는 법​ (이번 호)​

  

 

핵심은 사용자가 자신만의 비밀번호 생성 규칙을 만든다는 점이다. 이렇게 만들어진 비밀번호는 스스로 기억하기는 쉽지만 겉보기에는 무작위 문자의 조합으로 보여 타인이 추측하기는 어렵다. 아래의 내용을 참고해 자신만의 고유한 비밀번호를 만들어보자. 

 

 

적어도 12자 이상의 문자로 만들 것

비밀번호는 길이가 길어질수록 안전할 가능성이 높아진다. 물론 아직 8자 이상의 비밀번호를 권하는 사이트도 많다. 하지만 복잡하게 만든 12자 비밀번호는 최대 90일 동안, 15자 비밀번호는 1년 동안 안전하다고 여겨진다. 그러니 새로 만드는 비밀번호는 적어도 12자 이상이 되게 만들도록 하자.

 

독특하고 임의적인 구성의 조합 만드는 법

안전한 비밀번호는 무작위 조합 같아 보이는 게 좋지만 모든 비밀번호를 무턱대고 그렇게 만들었다가는 사이트에 들어갈 때마다 본인인증을 해야 할 수도 있다. 이런 불편함을 피하기 위해서는 ‘자신만의 비밀번호 공식’을 만드는 것이 좋다. 독특하고 임의적이지만 스스로 기억하기 쉽도록 말이다.

 

자신과 관련된 단어를 재구성하는 방법을 사용해보자. 예를 들어 자신이 좋아하는 영화 ‘바람과 함께 사라지다’의 초성 자음만 활용하면 ‘ㅂㄹㄱㅎㄲㅅㄹㅈㄷ’이 되는데 이것을 영문자판으로 변형하면 ‘qfrgRtfwe’가 된다. 좋아하는 음식 ‘김치찌개’를 거꾸로 나열한 ‘개찌치김’을 영문자판으로 변형하면 ‘roWlclrla’이 된다. 이런 식으로 만들어진 문자의 조합은 독특하고 임의적으로 보이지만 스스로 기억하기는 쉽다. 이런 방법으로 구성할 수 있는 문자의 조합은 무궁무진하다. 어떤 단어를 어떤 규칙으로 재구성할 것인지 정하는 것은 사용자의 몫이다.

 

자신과 관련된 고유한 숫자 추가

비밀번호에 숫자를 추가할 때는 전화번호나 생년월일 등의 개인정보를 활용해서는 안 된다. 또 111, 222, 123과 같은 숫자보다는 타인이 유추하기 어려운 숫자의 조합이 안전하다. 하지만 의미 없는 숫자의 조합은 역시 기억하기 어렵다는 단점이 있다. 이럴 때는 온라인상의 개인정보를 통해 파악할 수 없는 자신만의 고유한 숫자를 넣는 것도 방법이다. 예를 들면 자신의 신발 사이즈나 키 등이 그것이다. 

 

특수문자를 추가하는 방법도 본인이 정하기 나름인데, 다양한 특수문자를 기억할 자신이 없다면 한두 가지의 특수 문자 기호를 정해 추가하면 어떨까? 이 특수문자는 앞으로 사용하는 모든 비밀번호의 같은 위치에 넣는 방식이다.

 

사이트마다 다른 비밀번호 설정하는 법

사이트마다 다른 비밀번호를 설정하기 위해서는 자신이 만든 비밀번호의 처음이나 마지막에 사이트 주소의 일부를 추가하는 방법을 사용하는 기억하기 쉽다. 예를 들면 사이트 주소의 앞 글자 세 개를 비밀번호 맨 뒤에 추가하는 식이다. www.naver.com 의 경우 nav를 자신이 만든 고유한 비밀번호의 뒤에 추가한다. 사이트 주소의 어느 부분 몇 글자를 어디에 넣을지 역시 정하기 나름이다. 중요한 것은 외우지 않더라도 직관적으로 사이트의 비밀번호를 파악할 수 있어야 한다는 점이다. 기본 비밀번호에 자신이 만든 사이트 주소 추가 룰만 기억한다면 모든 사이트에서 다른 비밀번호를 사용할 수 있게 되는 것이다.

 

위의 방법으로 만들어 본 포털 사이트 네이버의 비밀번호다. 

 


  

공격자가 사용하는 크래킹툴로 이 비밀번호를 알아내는 건 사실상 불가능하다고 보면 된다. 

 

모든 사이트에 적용된 강력한 비밀번호를 기억하기 위해 스스로 해야 하는 일은 비밀번호를 만든 규칙을 기억하는 것과 이렇게 만든 비밀번호를 적어도 6개월에 한 번씩 바꿔주는 것 뿐이다. 지금 바로 자신만의 규칙을 적용해 안전한 비밀번호를 만들어보자. 비밀번호는 스스로 할 수 있는 최초의 보안이라는 사실을 기억하면서 말이다.

 

 

비밀번호 보안 수칙 

- 타인이 유추할 수 없는 안전한 비밀번호를 설정해 사용한다.

- 초기 패스워드가 시스템에 의해 할당될 경우 빠른 시간 내에 새로운 비밀번호로 변경한다.

- 비밀번호는 주기적으로 변경한다. 권장 변경 주기는 6개월이다. 

- 비밀번호 변경 시 새 비밀번호는 이전 비밀번호와 연관이 없어야 한다. 

- 자신의 비밀번호가 타인에게 노출되지 않도록 한다.

- 타인에게 자신의 비밀번호와 관련된 정보나 힌트를 제공하지 않는다.

- 자신의 비밀번호가 노출됐을 경우 즉시 새로운 것으로 변경한다. ​ ​ 

  • AhnLab 로고
  • 콘텐츠기획팀 김수정
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.