복잡한 비밀번호 관리, 마스터 암호 하나로 OK!

편집자주 : 진보네트워크센터에서 「디지털 보안 가이드」를 발간했습니다.
컴퓨터와 휴대폰에는 나에 대한 거의 모든 것을 알 수 있는 수천 장의 사진, 내가 읽거나 작업한 문서들, 통화 기록과 다른 사람과 주고받은 메시지들이 포함되어 있지만, 우린 너무 보안에 무관심합니다. 분명 보안 조치를 취하는 것은 당장 눈에 보이는 이익보다는, 이해하기 어렵고 실행하기 귀찮은 일임에 틀림없습니다. 어느 순간 악성 코드에 감염되어, 혹은 휴대폰을 압수당해서, 내 삶의 자료들을 누군가에 넘겨준 다음에 후회해도 늦습니다. 한꺼번에 다 하려고 생각하지 맙시다. 네트워커에서는 매월 한편씩 디지털 보안을 위한 안내를 하겠습니다. 한 달에 하나씩만 보안조치를 취해봅시다!

비밀번호, 제대로 관리하자!

비밀번호는 보안을 위한 가장 1차적인 수단입니다. 이메일이든, 휴대전화든, 웹사이트든 비밀번호가 뚫리면, 그 비밀번호로 접속해서 내가 사용가능한 모든 것이 누군가에게 모두 노출되기 때문입니다. 그런데 비밀번호만큼 허술하게 관리되는 것도 없습니다.

많은 사람들이 다른 사람이 쉽게 예측할 수 있는 비밀번호를 사용합니다. 예를 들어 주민번호나 전화번호, 애완동물 이름, 심지어 ‘123456789’ 이런 단순한 비밀번호 말입니다. 국정원에 해킹 소프트웨어를 판매한 이탈리아 업체 해킹팀(Hacking Team)이 최근 해킹을 당해, 그들이 사용했던 비밀번호도 유출된 바 있는데, 다음과 같은 비밀번호를 사용했다고 합니다.
‘HTPassw0rd’ ‘Passw0rd!81’ ‘Passw0rd’ ‘Passw0rd!’ ‘Pas$w0rd’
해킹 소프트웨어 판매업체마저 이런 비밀번호를 사용했다니, 그만큼 보안이란 (귀찮고 비용이 들기 때문에) 쉽지 않다는 것을 역설적으로 보여주는 것이 아닌가 싶습니다.

피해야할 비밀번호 사용 습관

또한, 많은 사람들이 같은 비밀번호를 여러 곳에서 사용합니다. (혹은 몇 개의 비밀번호를 돌아가면서 사용합니다.) 서로 다른 비밀번호를 외우는 것이 한계가 있기 때문입니다. 대부분의 사람들이 여러 개의 계정을 사용합니다. 가장 기본적으로 이메일이나 SNS 사이트 계정부터 시작해서, 가끔씩 사용하는 쇼핑몰들, 1년에 한두달 사용할까말까 하는 사이트들의 계정까지… 어쩌면 수십 개에 달하는 이 모든 계정들의 비밀번호를 외우는 것은 불가능한 일입니다. 그러나 같은 비밀번호를 사용하면, 한 사이트가 뚫렸을 때 다른 사이트의 계정 역시 안전하지 않게 되니, 그만큼 보안이 취약해지게 됩니다.
누구나 강력한 비밀번호를 만드는 방법은 알고 있을 것입니다. 길고 복잡할수록 좋습니다. 예를 들어, ‘123123’ 이라는 비밀번호보다는 ‘ti8@klrp9!gp#aa’라는 비밀번호가 훨씬 강력합니다. 그러나 기억할 수 없어서 종이에 써갖고 다녀야 한다면 소용없습니다. 기억할 수 있을 만큼 실제적이면서도, 나와 관계된 단어를 사용하지 않는 것이 좋습니다. 기억하기 쉬운 여러 개의 단어 조합을 사용하는 것도 좋은 방법입니다.

‘금고 프로그램’ 강력한 비밀번호 생성 기능도

또 하나의 방법은 비밀번호 관리자 혹은 비밀번호 금고라고 불리는 프로그램을 사용하는 것입니다. 말 그대로 자기의 비밀번호를 관리해주는 프로그램입니다. 자신이 사용하는 비밀번호의 목록을 여기서 관리합니다. 비밀번호 관리자는 강력한 비밀번호를 생성해주기도 합니다. 난 그것을 기억할 필요가 없습니다. 필요할 때 비밀번호 관리자를 열어, 비밀번호를 복사해서 필요한 곳에 붙여 넣으면 됩니다. (Copy & Paste) 나는 비밀번호 관리자에 들어갈 때 사용하는 ‘마스터 비밀번호’ 하나만 기억하고 있으면 됩니다.

물론 단점도 있습니다. 우선 비밀번호 관리자가 털리면, 내 비밀번호가 몽땅 털립니다. ㅜㅜ 그러니 ‘마스터 비밀번호’ 하나만은 아주 어려운 것으로 설정하고, 다른 사람에게 절대 얘기해서는 안 됩니다.

어떤 사이트를 사무실 PC에서도, 집의 PC에서도, 스마트폰에서도 접속할 경우, 내가 특정 사이트의 비밀번호를 기억하고 있지 못하면 불편하지 않을까? 비밀번호 관리자 파일을 복사해서 사무실 PC와 집의 PC, 스마트폰에 저장해서 사용할 수 있습니다. 비밀번호 관리자 프로그램만 있으면 어디서나 열 수 있습니다. 혹은 비밀번호 관리자 파일을 클라우드에 올려놓을 수도 있습니다. 클라우드 서비스를 믿을 수 있다면 말입니다.

비밀번호 관리자를 사용하는 것이 (외우는 것보다) 귀찮을 수 있습니다. 그러나 습관이 되면 괜찮습니다. 보안이란 조금 귀찮은 법입니다. 이런 저런 장단점을 생각해서, 자신이 비밀번호 관리자를 사용할지 결정하세요. 자주 쓰는 몇 개의 사이트(예를 들어, 이메일이나 자신이 관리하는 사이트의 관리자 계정과 같은)에서는 자신만 아는 어려운 비밀번호를 사용하고, 별로 사용하지 않는 사이트들은 비밀번호 관리자로 관리하는 것도 하나의 방법입니다.

「디지털보안 가이드」에서는 비밀번호 관리자로 KeePassX를 추천하지만, 다른 비밀번호 관리자 프로그램도 많이 나와 있습니다. PC에서 사용하는 비밀번호 관리자로는 <KeepassX>를 참고하세요. 안드로이드폰에서는<KeePassDroid>를 사용하면 됩니다. 또한 그 전에 <강력한 비밀번호 생성하기>를 읽어보도록 합시다.