이해하기 어려운 복잡한 패스워드(Password)가 좋은 것만은 아니다.

과거부터 해킹사고는 빈번했었고 근래 들어서는 국가 차원에서도 많은 보안사고가 발생하고 있습니다. 이에 따라 보안에 대한 관심도 많이 높아지고 있는데요. 개인이 관리할 수 있는 가장 기본적인 보안 수단인 패스워드(Password)에 대해 괜찮은 글이 있어서 공유를 하고자 합니다.

흔히 패스워드를 만들때는 다음과 같은 생각들이 밑바탕에 많이 깔려 있습니다. 

"최대한 복잡하게.." "남들이 추측하기 어렵게.." "다양한 영문,숫자 조합으로.." "자주 변경을.."

뭐. 대부분 맞는 말이죠. 하지만 알아보기 어려울 정도의 복잡한 패스워드는 자기 자신도 잘 기억하기 어렵다는 치명적인 단점이 있습니다(굉장히 기억력이 좋은 사람이 아닌 이상에는 말이죠...;;). 그리고 그러한 패스워드가 그렇지 않은 것보다 더 보안강도가 높은 것만도 아니에요. 

덴마크의 토마스 백달(Thomas Baekdal)이라는 저자가 다양한 케이스의 패스워드를 각종 방법(Brute-force, Common words, dictionary attack)으로 크래킹 했을 시에 얼마나 시간이 걸리고 보안강도는 얼마나 되는지를 다음과 같이 정리하였습니다. 

"orange" 같은 일반적인 단어나 단순 랜덤한 문자열인 "jskerv" 같은 건 도저히 쓸 수 없을 정도로 보안강도가 약하죠. 하지만 영문 대소문자, 숫자, 특수문자의 조합인 "J4fS<2"는 219년이나 걸리네요. 역시나 복잡도가 높은 패스워드는 상당히 깨기가 어렵습니다.

참고) 정부에서 권고하는 패스워드 생성 규칙은 영문,숫자 조합 10자리 이상 또는 영문,숫자,특수문자 조합 8자리 이상입니다. 

하지만 "J4fS<2" 와 같은 패스워드를 기억하실 수 있으신가요? 전 도저히 못할 것 같네요. 이와 같은 패스워드는 보안강도는 매우 높으나 실질적인 효용가치는 좀 떨어진다고 볼 수 있는거죠. 그렇다면 다음과 같은 것은 어떨까요.

"This is fun" 은 일반적인 단어 3개에 특수문자(공백)의 조합입니다. "J4fS<2" 보다 보안강도도 높으면서 기억하기도 수월합니다. - 공백의 경우는 기호에 따라 다른 특수문자로 바꿔도 무방하겠네요. - 그런데 여기서 일반적인 단어를 본인이 기억하기 쉬운, 일반적이 아닌 다른 형태로 바꾸면 더욱 보안강도가 높아집니다.

▲ "du-bi-du-bi-dub" 은 정말 굉장하군요

결과적으로 보면 3가지 단어 이상에 특수문자를 조합하면 복잡도가 증가하면서 자연스레 보안강도도 높아진다고 볼 수 있습니다.

이쯤에서 정리를 해보자면요.
"J4fS<2" 과 같은 패스워드는 분명히 강력한 패스워드입니다. 보안강도가 굉장히 높죠. 쉽게 뚫을 수 없는 패스워드 입니다. 다만, 여기서 이야기하고자 하는 것은 충분히 패스워드도 user-friendly 할 수 있고 보안강도도 높도록 만들 수가 있다는 것이 요점이죠. 설사 조금 보안강도가 떨어진다 하더라도 자주 변경해 줄 수도 있는 것이구요.

하지만.. 뭐니뭐니해도 중요한 것은 본인의 패스워드는 본인이 기억할 수 있어야 한다는 것 아닐까요? ^^;


출처 : The Usability of Passwords