저번 게시글에서는 같은 비밀번호를 여러 사이트에 사용하면 안 되는 이유에 대해서 알려드렸습니다. 이번에는 비밀번호에 개인정보를 담지 않아야 하는 이유에 대해서 알려드리겠습니다.
1. 비밀번호에 담긴 개인정보
비밀번호를 만들다 보면 어떻게 만들어야 할지 고민이 됩니다. 보안을 위해서라면 복잡하고 길게 만드는 것이 좋지만 너무 복잡하거나 길면 외우기 힘들기 때문에 기억하기 쉽게 만드시는 경우가 많습니다. 대표적인 예시가 비밀번호에 이름이 들어가거나, 생년월일이 들어가거나, 123이나 1234같이 외우기 쉬운 숫자가 들어가도록 만듭니다.
예시로 김철수라는 90년 01월 13일 생일인 사람이 있다고 하겠습니다. 그는 비밀번호를 기억하기 쉽게 만들기 위해서 다음과 같은 비밀번호를 만들었습니다.
- cjftn123 (철수123 / 이름 + 외우기 쉬운 숫자)
- cjftn0113 (철수0113 / 이름 + 생년월일)
- Cjftn0113! (철수0113! / 이름 + 생년월일 + 특수문자)
이 중에서 철수0113과 철수0113!는 대부분의 사이트에서 비밀번호 조건에 문제없이 사용 가능한 비밀번호입니다. 하지만 이 경우는 매우 위험한 비밀번호라고 할 수 있습니다.
2. 예시
이번에는 제가 위에 나온 김철수 씨의 계정을 해킹하는 해커로 가정해 보겠습니다. 이때 김철수씨의 ID는 다른 사람과 연관 지을 수 없게 marisara1로 가정하며, 비밀번호는 cjftn0113! (철수0113!)라고 하겠습니다.
저는 김철수 씨의 naver계정에 접근하려고 한다고 하겠습니다.
ID는 이미 marisara1인 것을 알고 있으니 비밀번호만 알면 됩니다. 우선 네이버는 5번의 비밀번호 입력 오류 시 사용자에게 안내가 가게 되므로 5번의 시도 안에 비밀번호를 찾아야 합니다.
해커가 한국인이라면 이름을 그대로 영문 타이핑을 하는 방법은 알고 있을 것입니다. 그래서 가장 유력한 단어인 cjftn (철수)를 예상해볼 수 있습니다. 여기에 네이버의 비밀번호 최소 길이인 8자를 맞추기 위해 123을 넣는다고 하면 위에서 만들었던 cjftn123 (철수123)이 됩니다.
cjftn123 (철수123)이 실패했으므로 다음의 경우를 생각해 볼 것입니다. 이번에는 단순한 숫자인 123이 아닌, 그의 생년월일을 유추해볼 수 있습니다.
대표적인 방법은 페이스북이나 인스타그램의 정보입니다. 대부분의 페이스북이나 인스타그램 사용자는 다른 사람들과의 교류를 위해 개인정보를 어느 정도 공개합니다. 저는 김철수 씨의 생년월일인 01월 13일을 페이스북에서 찾았다고 하겠습니다. 이번에는 cjftn0113 (철수0113)을 시도합니다.
cjftn0113 (철수0113)도 실패했습니다. 이번에는 조금 더 들어가 보겠습니다. 예를 들어 공인인증서는 10자리 이상의 영문 + 숫자 + 특수문자가 반드시 필요합니다. 그리고 대부분의 사용자들은 영문 + 숫자로 9자리가 맞춰졌으면 마지막 자리에 특수문자를 하나 추가하는 것으로 비밀번호를 완성시킵니다. (출처 : news.sbs.co.kr/news/endPage.do?news_id=N1005579692)
그렇기 때문에 이번에는 방금 만들었던 9자리인 cjftn0113에서 느낌표를 추가한 cjftn0113! (철수0113!)를 입력하게 되고 해킹에 성공하게 됩니다.
3. 대처법
그렇다면 외우기 쉬운 비밀번호를 만들면서도 이름, 생년월 일등은 들어가지 않는 비밀번호를 고민하게 됩니다. 사실 외우기 쉬운 비밀번호는 간단합니다.
필요 이상으로 어려운 비밀번호는 사람에게는 어렵지만 길이만 짧다면 컴퓨터에게는 간단합니다. 그렇기 때문에 외우기 쉬운 여러 단어를 조합해서 비밀번호를 만든다면 위와 같은 방법으로도 추측하기 힘들며, 컴퓨터를 사용해서도 추측하기 힘들어집니다.
예를 들어 김철수 씨는 김 + 철 + 수라는 이름으로 쪼개어 laver(김)iron(철)water(수)라는 자신의 이름이지만 외우기 쉬운 단어가 있을 수도 있습니다. 이렇게만 해도 비밀번호는 14글자이며, 숫자와 특수문자를 만족하기 위해 단순하게 1! 을 뒤에 추가한다면 네이버의 비밀번호 기준을 만족합니다.
laverironwater도 이름을 번역한 경우이니 불안하다면, 자신의 이름의 한자를 영문으로 번역하는 방법도 있습니다. 예를 들어 김철수 씨의 한자 이름을 독립운동가 김철수 씨의 이름인 金(쇠 금)錣(바늘 철)洙(물가 수)라고 가정하겠습니다. 이를 영어로 직역한다면 iron(쇠)needle(바늘)shore(물가, 해변)가 됩니다. 이 경우는 영문자로 15글자를 만족하게 되므로, 16자 이내를 요구하는 네이버에서는 맨 뒤에 숫자나 특수문자를 넣을 수 있으며, 그 이상이 가능한 사이트에서는 둘 다 넣음으로 더욱 안전한 비밀번호를 만들 수도 있습니다.
4. 마치며
일반적으로 해커들이 한 명의 사용자의 계정을 해킹하기 위해 위와 같은 방법을 사용하진 않습니다. 시간이 너무 많이 걸리며, 노력한 시간만큼 얻을 수 있는 것이 많이 없기 때문입니다. 하지만 본인이 어느 회사의 중요한 위치에 있거나, 비트코인과 같이 재산과 관련된 경우에는 해커들이 위와 같은 방식으로 비밀번호 탈취를 시도할 수도 있으니, 각별한 주의가 필요할 것입니다.
'보안 > 정보' 카테고리의 다른 글
| 개인정보 보호방법) 2. 비밀번호를 다시 사용하지 않기 (0) | 2021.02.28 |
|---|---|
| 개인정보 보호방법) 1. 비밀번호는 길고 복잡하게 (0) | 2021.02.27 |
| 개인정보 보호방법) 0. 개인정보란? (0) | 2021.02.25 |
| 코인원 피싱 사기 주의보 (0) | 2021.02.02 |
| 피싱 주의보 : 검강검진 확인서? (0) | 2020.12.20 |