통신의 보안 정책에 대하여

병원에서 두 개의 비밀 번호를 반드시 써야 합니다. 사내 통신망과 전자의무 프로그램. 각각 3개월과 2개월마다 비밀번호를 꼭 바꿔야 합니다. 그것도 다른 것으로.

다음과 티스토리에서도 일정한 주기마다 비밀번호를 바꾸라고 화면을 제시합니다.

이렇게 4개의 비밀번호만이라면 괜찮겠지요. 그런데 한 개인이 관리하는 아이디와 비밀번호가 몇 개일까요? 수십 개입니다. 이 모든 곳의 아이디와 비밀번호를 따로 하는 게 최선이겠는데 (하나가 털려도 다른 게 안전하려면 말이지요. 보안정책이라는 게 안 털리게 하는 것도 있지만 털려도 다른 데가 같이 털리면 안되는 게 기본 아니겠습니까?) 사람의 기억이라는 게 한계가 있습니다. 보통 사람이라면 절대로 그렇게 못합니다. 따라서 같은 걸 쓰거나 비슷한 걸 씁니다. 거기에다 주기적으로 바꾸라고 하면 돌려 쓰거나, 하나나 둘 정도만 교체한 걸 쓰지요.

30군데에서 두 달마다 비밀번호를 바꾸라고 요구한다면 그 개인은 몇 개 안되는 (그나마 비슷한) 것을 사용할 가능성이 높아집니다.

다른 생각을 해봅시다.

해킹으로 비밀번호가 털렸다고 가정한다면 다른 싸이트에서 유사한 아이디를 쓰는 경우(보통 이렇거든요.) 해커가 알아낸 것을 대입하면 쉽게 다른 싸이트도 털 수 있습니다. 왜냐하면 유사한 것들이나 같은 걸 쓰고 있으니까요.

만약 각 싸이트마다 다른 아이디와 다른 비밀번호를 쓴다면 10년 동안 같은 걸 사용한다 할지라도, 하나가 털린다 해서 다른 것이 위험해지지는 않습니다.

이번에는 털리기 전을 가정해 볼까요?

한 사람의 아이디와 비밀번호가 비슷하든 다르든 외부인이(해커라고 합시다.) 알아내는 것은 같은 확률입니다. 길이나 복합적인 정도에 따라 시간이 달라질 뿐이지요.

그렇다면 왜 주기적으로 비밀번호를 바꿔야 하지요?

인터넷 보안 정책에는 두 가지가 있습니다. 하나는 지금 대체로 강요받고 있는 주기적 비밀번호 교체. 또 다른 하나는 각 싸이트마다 다른 아이디와 비밀번호.

싸이트 자체가 털리는 경우라면 어느 쪽이든 안전하지 않습니다. 뭐 우리나라에서는 사용자에게 덮어씌우는 구조니까 가끔만 이런 게 드러납니다.

사용자의 피씨가 해커에게 노출된 경우라면, 어느 정책을 쓰든지 항상 털리게 됩니다. 그러니 이것도 논외가 됩니다.

일반적인 경우에는 적극적인 해커에게 당하든가, 보안에 취약한 곳에서도 사용함으로써 다중에게의 노출 기회가 잦아진 탓에 털리는 것이라고 추측할 수 있습니다. 따라서 주기적 교체로 이를 예방할 수 있다는 논리가 성립된다고 봅니다. 왜 남의 보안 정책까지 염려해 주는지 모르겠네요, 아마도 두 단락 위의 경우를 사용자에게 책임 전가하기 위함이 아닐까 합니다.

오래 전에는 아이디에 제한이 별로 없었습니다. 비밀번호도 마찬가지였고요. 그러다가 점차 길이에 제한이 생겼습니다. 보통은 늘어나는 쪽으로 진행했고요. 비밀번호라면 처음엔 한 자리 숫자만으로도 되었다가, 네 자리 이상이 요구되었다가, 6자리에 문자 추가, 8자리, 10자리, 특수문자까지 요구하는 세상이 되었습니다.

사용자의 입력 환경이 이미 오염된 경우라면 100자리 비밀번호를 입력한다 해도 노출됩니다. 일반인이 키스트록을 가로채는 것에 대해 알겠습니까? 기껏해야 백신을 믿고 한 번 돌린 다음 괜찮은가 보다 하고 말지요.

몇 년 전부터 유행하는 각 싸이트의 비밀번호 주기적 교체 요구는 개인 사용자에게는 실이익이 별로 없는 정책입니다. 원 비밀번호가 12345abc이라고 가정해 봅시다. 주기적으로 바꾸라고 한다면 기존 번호를 써도 되는 싸이트라면 다른 어떤 것과 둘을 교대로 사용할 것이고, 다른 번호를 지속적으로 생성해야 되는 싸이트라면 일단은 12345abc1을 사용할 겁니다. 다음에는 2를 쓸 것이고. 소수를 제외하면 비밀번호를 완벽하게 외울 수 없으니 연상되는 것으로 바꿀 수밖에 없습니다. 아니면 적어두던가. 적어둔다면, 그 종이나 파일이 털리면 몽땅 털리겠지요.

얼토당토 않는 정책을 강요하기는 어렵습니다. 그런데 그럴싸한 논리를 갖는 정책이라면, 강요할 수 있습니다. 그게 비록 실이익이 없다 할지라도 말입니다.