비밀번호 변경 정책에 대한 소고

어떤 싸이트는 방문하면 보통은 아이디와 비밀번호를 이용하여 로그인 해야 한다.

여기서 보안성 문제로 인하여 안내를 받는 경우가 잦다.

아이디를 교체하면 개인의 정체성이 소실되는 셈이니 보통 이에 대해서는 언급하지 않는다. 따라서 주로 언급되는 것은 비밀번호.

싸이트에 따라 다르지만 보통은 한 달 내지 6개월에 한번씩 비밀번호를 교체하라고 한다. 언뜻 보기엔 타당한 정책 같다.

그런데, 개인의 차원으로 시점을 돌려보자. 적게는 열 몇 개에서 많게는 수십, 수백의 싸이트에 가입해 있다. 인간의 보통 머리로는 모두를 다 기억할 수 없으니 비슷하게 또는 같은 것을 돌려 사용할 것이다. 어디에 적어 두지 않는다면 말이다.

어디에 적어두는 것은 보안성 측면에서 매우 위험하다. 즉 시도하지 않는 것이 나은 방법이다. 따라서 배제하자. 그렇다면, 개인이 취할 수 있는 방법은 세 가지뿐이다.

1. 모든 싸이트의 아이디와 비밀번호를 다 외운다. => 앞서 말한 것처럼 보통 사람의 보통 머리로는 불가능하다. 비현실적이므로 제외.

2. 모든 싸이트의 아이디와 비밀번호를 비슷하게 하고 주기적으로 교체한다. => 각 싸이트에서는 이것을 권하는 듯하다. (자세한 이유는 아래를 참조.)

3. 각 싸이트에 서로 다른 아이디와 비밀번호를 부여하고 유지한다.

 

앞에 쓴 것처럼 쓸 만한 보안정책은 두 가지가 있다. 하나는 (현실적으로 어쩔 수 없으니) 각 싸이트의 비밀번호를 유사하게 하고 주기적으로 모두 교체한다. 각 싸이트별로 주기가 다르므로 원하는 시기에 교체하면 혼동될 우려가 있으니 가장 짧은 주기의 싸이트를 기준으로 하는 수밖에 없다. 50군데의 비밀번호를 모두 다르게 유지할 자신이 있다면 예외이다.

다른 방법으로는 하나의 싸이트에 하나의 아이디/비밀번호 조합을 사용하는 것이다. 이 때에는 교체하지 않는 것이 유리하다. 왜냐하면, 한 싸이트(의 아이디/비밀번호)가 노출이 된다고 해도 그 사람의 다른 싸이트와는 무관하므로 개인 차원에서는 훨씬 더 강력한 보안장치이다.

 

'50개의 비밀번호를 제각각 따로 관리할 수 있을까?'가 이 글의 주제이다. 나는 보안성 강화를 위하여 비밀번호를 싸이트마다 다르게 설정해 두고 그걸 고수하길 바란다. 몇십 개의 싸이트에서 같은 비밀번호를 쓴다면, 하나가 뚫릴 경우 다른 것들도 모두 위험에 처하게 되지 않는가? 게다가 이런 위험은 그게 언제 발생했는지도 모른다는데 심각함이 있으니 몇 개월 주기로 비밀번호를 바꾸라고 강요하는 것은 짧은 소견에서 나온 잘못된 정책이다. 개개인의 관리정책은 제각각 다르다. 하나로 획일화하여 사고하는 잘못은 이제 그만하자.