전체메뉴

[애플경제 이보영 기자] 이메일, 각종 결제앱, 공연 예약 사이트, 각종 웹 로그인 등에 비밀번호가 필요하다. 그러나 로그인 브라우저에 따라 특수문자나 숫자의 개수, 영문 조합 등에 대한 요구사항이 달라 그 때마다 매번 조금씩 비밀번호를 달리 해야 할 경우가 많다. 그 중엔 꽤 복잡한 구조를 요구하기도 한다. 결국 시간이 흐르면 각기 다르거나, 너무 복잡한 비번을 까먹거나, 정확히 기억하지 못해 접속 자체가 불가능한 경우가 많다.

이에 최근엔 ‘패스키’와 같은 비번없는 풍토가 확산되고 있다. 또 설사 비번을 쓴다고 해도 ‘복잡한 비밀번호’만이 안전하다는 편견도 사라지고 있다. 다시 말해 복잡할수록 앞서 각종 브라우저 접속때마다 오히려 제대로 기억하지 못하고, 안전하지 않게 된다는 것이다.

일정 규칙에 따른 복잡한 비번이 더 위험

특히 많은 웹사이트나 브라우저들이 특정한 기능이나 상품에 접근하는 조건으로 사용자들에게 숫자, 대문자, 기호 등 복잡한 구성을 혼합, 비밀번호를 만들도록 하는 것도 문제가 있다는 지적이다. ‘국제보안엑스포 2024’에 참가한 국내 보안업체 쿼리시스템의 한 관계자는 “사람들은 흔히 기억하기 쉬운 비밀번호를 선택하려고 하지만, 온라인 서비스들은 일정 수준의 복잡성을 요구하는 규칙을 요구하고 있다”면서 “그러나 실제로 해킹 당한 비밀번호들을 보면, 오히려 이런 규칙도 문제가 있다”고 지적했다. 그는 “애당초 안전하다고 생각했던 것보다 취약하고, 또 사용자들도 자신이 설정한 비번을 제대로 기억하지 못하는 경우가 많다”고 전했다.

현장에서 이처럼 복잡한 비밀번호의 유용성에 대한 회의가 확산되면서, 최근에는 ‘패스키’를 비롯한 보안 잠금장치 기술에 대한 자성과 개선의 움직임이 활발해지고 있다. 역시 국내 보안업체인 이스트시큐리티의 한 관계자도 “제 아무리 복잡하게 구성된 기존의 비밀번호라도 단 몇 분 만에 해독될 수 있을 정도로 지금의 비번 문화는 점점 더 ‘구식’이 되고 있다”는 의견도 덧붙였다.

실제로 글로벌 보안기업인 캐스퍼스키의 조사 결과 역시 이를 뒷받침하고 있다. 이 회사가 그 동안 해킹을 당한 적이 있는 전세계 1억 9,300만 개의 비밀번호를 분석해본 결과, 놀랍게도 그중 45%는 60초 이내에 해독할 수 있다는 사실이 밝혀졌다. 이에 실리콘 밸리 등 주요국 유명 기업들이 비밀번호를 완전히 없애자고 주장하는 것도 새삼스런 일이 아니다.

MS, 애플, 구글 등 많은 빅테크들은 이미 수 년 동안 비밀번호 없는 미래로 나아가고 있다. 특히, 이러한 회사들은 패스키와 같은 잠재적인 대안을 모색해 왔다. 앞서 오라클 CTO인 래리 엘리슨은 “최근 클라우드 컴퓨팅 대기업의 직원들이 근본적인 불안정성 때문에 1년 후에는 비밀번호를 사용하지 않을 것”이라며 “비밀번호를 사용한다는 생각은 터무니없는 생각이며, 시대에 뒤떨어진 것으로 매우 위험하기 짝이 없다”고 클라우드프로에 밝혔다.

“비번, 시대에 뒤떨어진 구식 ‘보안’”지적도

특히 복잡한 비밀번호일수록 오히려 사용자의 기억력에 혼선을 주고, 이를 무조건 신뢰하다보니, 전혀 의도치 않게 비번이 뚫리거나 풀리곤 한다. 미국의 국립표준기술원(NIST)도 이에 관해 경고한 바 있다. “지나치게 복잡한 비밀번호는 효과가 없을 뿐만 아니라 ‘위험할 정도로’ 안전하지 않다”는 것이다. NIST는 최근 웹, 앱 등이 요구하는대로 사용자가 비밀번호 구성 요구 사항에 맞게 설정한 비밀번호가 대부분 예측 가능한 방식에 의한 것인 만큼, 애초 목적과는 달리 보안 효과를 떨어뜨린다는 연구 결과를 내놓기도 했다.

월스트리트저널에 의하면 복잡한 비밀번호도 새로운 취약점을 초래한다는게 NIST의 주장이다. 이에 따르면 예를 들어, 사용자가 비밀번호로 애초 ‘password’를 택할 수도 있다. 그러나 ‘비번은 대문자와 숫자를 포함해야 한다’는 요구에 따라 이를 다시 변경해 ‘Password1’을 선택할 가능성이 상대적으로 높다. 게다가 ‘기호도 필요하다’고 한다면, 또 다시‘Password1!’을 선택할 가능성이 매우 높다.

이런 사례는 실제로 NIST의 조사와 연구를 통해 현실에서 나타나고 있다. NIST는 이에 “그런 식으로 연거푸 바꾼 비번들은 기억하기 훨씬 어렵기 때문에 사용자는 이를 별도로 적어두거나 안전하지 않은 방식으로 PC 등 각종 디바이스에 저장해둘 가능성이 더 높다”는 것이다. “그야말로 위험천만의 일”이라는 경고다.

또한 많은 웹브라우저나 앱은 주로 비밀번호가 길수록 좋다는 인식으로 이에 따른 접근 방식을 권장한다. 그러나 피싱이나 소셜 엔지니어링과 같이 비밀번호를 뚫는데 집중하는 사이버공격의 사례를 보면, 길고 복잡한 비번이 안전하다는 보장은 전혀 없다는 지적이다.

‘엔트로피 법칙’ 인용한 ‘비번 무용론’도

‘클라우드프로’는 이 대목에서 엔트로피, 즉 소멸 내지 무질서화의 이론을 적용하기도 한다. 즉 사용자가 선택한 비밀번호의 복잡성은 흔히 엔트로피(무질서, 소멸)의 이론 개념으로 설명할 수도 있다. 물론 “‘결정적 분포 함수’가 있는 데이터의 경우 엔트로피를 쉽게 계산할 수 있지만, 사용자가 선택한 비밀번호의 엔트로피(보안 수명)을 추정하는 것은 어렵고, 그렇게 하려는 과거의 노력은 특별히 정확하지 않았다.”고 전제한다.

즉, 복잡하고 길다고 해서 보안 수명나 견고한 보안 ‘질서’를 보장하진 않는다는 논리다. “이에 비밀번호 길이와는 무관한 다소 더 간단한 접근 방식을 생각할 수 있다”고 했다.

물론 매우 긴 비밀번호는 ‘해시’하는 데 시간이 더 걸릴 수 있다. 그래서 사용자로선 원하는 만큼 길게 비밀번호를 만드는 것도 나무랄 일이 아니다. 그럼에도 불구하고, 해킹에 뚫리는 일이 잦아지면서, 복잡하고 긴 비번의 효용이 부정당하고 있다. 오히려 ‘역효과’가 있을 뿐이란 지적도 이어지고 있다.