대부분의 인터넷 유저는 ID와 패스워드 관리에 공을 들일 여력이 없다. 관련지식을 잘 모르기도 하고, 바쁘기도 하고 컴퓨터에 서툴고 귀찮다. 해커들은 이러한 틈새를 파고든다. 때는 이미 늦는다. 소 잃고 외양간을 고치지 않으려면 선제적인 암호관리가 필수다. 국내 대표 포털인 다음(daum)커뮤니케이션의 이진화 개인정보보호팀장에게 패스워드 관리에 대한 조언을 구했다.

Q. 내 아이디와 패스워드는 어떻게 해커들에게 유출되나.

A. 인터넷 상에는 수많은 아이디(ID)가 떠돌아다니고 있다. 해커들은 인터넷에서 수집한 아이디에 패스워드를 하나씩 넣어본다. 0000부터 0001, 0002, 0003…경우의 수는 엄청나기 때문에 오랜 시간이 걸리지만 결국 시간의 문제다. 언젠가 패스워드는 일치할 수밖에 없고, 덜컥 로그인이 된다. 그때 내 계정은 그들의 손에 넘어가는 것이다. 이렇게 수집된 개인정보는 또다른 ID와 패스워드를 추론하는 재료로 쓰일 수 있다. 보안을 위해 자주 패스워드를 변경하고, 복잡한 조합으로 만들 것을 권할 수밖에 없는 이유다. 해커들의 공격은 장시간에 걸쳐 치밀하게 일어나기 때문에 눈치채기가 쉽지 않다. 하지만 그들은 지금도 우리의 계정을 꾸준히 공격하는 중이다.

Q. 가장 보안이 취약한 패스워드는 어떤 조합인가.

A. ‘내가 생각하기 쉬운 패스워드’는 해커도 생각하기 쉽다. 1234, abcd, qwer(키보드 자판의 일련 나열)는 해커가 가장 먼저 시도하는 번호라고 생각해야 한다. 순식간에 뚫린다. love, god, boy 같은 쉬운 고유명사도 피해야 한다. 한글 명사를 영문자판으로 치는 조합도 마찬가지로 취약하다. 본인의 이름, 전화번호 같은 개인정보도 쓰지 않는 게 좋다. kim1978, jinwoo1234 같이 단순한 개인정보의 조합은 금물이다. 우리의 이름이나 주민등록번호, 주소, 전화번호는 전부 해커들 손에 넘어갔다고 가정하고 비밀번호를 만들기를 바란다.

Q. 그렇다면 어떤 비밀번호가 보안에 강한가.

A. 아쉽게도 그런 것은 없다. 쉬운 패스워드는 보안에 취약하고 어려우면 강하다. 집(계정)을 튼튼하게 지키기 위해서는 까다로운 자물쇠(패스워드)를 달아야 한다. 영어 소문자와 대문자, 숫자, 특수문자를 섞어서 8자리 이상 만드는 것이 좋다. 특수문자를 10개로만 가정해도 경우의 수가 722조(兆) 개를 넘어간다. 특히 대문자와 특수문자는 이용빈도가 매우 적기 때문에 해커들도 쉽게 시도하지 않는다. 또 사이트마다 다른 ID나 패스워드를 사용하고, 되도록 자주 바꿔주는 것이 좋다. 해커들은 한 곳에서 ‘발굴’해낸 ID와 패스워드를 곳곳에 대입하며 추가 정보를 수집한다. 많은 회원 분들이 다음, 네이버 같은 포털부터 트위터, 은행, 공인인증서까지 한 ID와 패스워드를 사용한다. 이럴 경우 한 곳이 뚫리면 걷잡을 수 없이 무너진다. 몹시 위험하다.

Q. 개인정보를 빼내가는 이들은 누구이고 무슨 용도로 쓰는가.

A. 나도 궁금하다(웃음). 그들의 국적이나 신분은 알 수 없지만 유출된 계정은 시장에서 암거래된다. 개인정보는 건당 10~50원 수준으로 판매된다. 계정이 담고 있는 정보의 질에 따라 가격대는 달라진다. 팔려나간 개인정보는 스팸 발송에 쓰이기도 하고, 악성코드를 퍼트리는 게시물을 작성한다든지, 사설 스포츠토토, 해외 도박, 포르노 등을 홍보하는 등 각종 불법적인 용도로 이용된다. 내 계정을 탐색하면서 추가 정보를 빼낼 수도 있고, 내 명의로 타인에게 욕을 한다든지 위해를 가할 수도 있다.

이자영 기자/nointerest@heraldcorp.com