누구나 웹사이트에 로그인할 때 패스워드를 입력한다. 그러나 “영문 대소문자와 숫자, 특수문자를 포함한 10자 이상”, “3개월 단위 패스워드 변경”과 같은 까다로운 패스워드 생성 조건에다가 패스워드 분실 시 이를 다시 찾는 과정 모두 많은 사용자의 번거로움을 유발한다. 게다가 패스워드가 보안에도 큰 도움이 되지 않는 것으로 드러났다.

월스트리트저널의 공식 팟캐스트인 테크 뉴스 브리핑은 “다수 사이버 보안 전문가가 까다로운 패스워드 생성 조건은 사용자의 보안 수준에 도움이 되지 않는다고 경고한다”라고 전했다. 그리고, 테크 뉴스 브리핑 진행자 조이 토마스(Zoe Thomas)가 월스트리트저널 칼럼니스트인 크리스토퍼 밈스(Christopher Mims)와 패스워드와 사이버 보안을 주제로 대화했다.

밈스 기자는 까다로운 패스워드 생성 조건이 보안에 악영향을 미칠 수 있는 이유는 “많은 사용자가 웹사이트에서 요구하는 패스워드 생성 조건을 충족하면서 최대한 간단한 패스워드를 생성한다. 게다가 주기적으로 패스워드를 변경하라는 안내를 받으면, 기존 패스워드에 숫자 하나를 추가하거나 몇 가지 패스워드를 번갈아 가며 사용한다. 실제로 패스워드 보안에는 도움이 되지 않는 관행이다”라고 설명했다.

밈스 기자는 많은 기업이 사내 네트워크 패스워드로 123456과 같이 매우 단순한 패스워드를 사용하도록 허용하여 보안이 취약하다는 점도 지적했다. 이는 다수 사이버 보안 전문가가 경고하는 패스워드 사용 관행이기도 하다.

해커 세력은 패스워드를 추측할 때 이미 유출된 패스워드 목록을 참고하여 패스워드를 무작위로 대입하는 방식으로 계정 로그인 정보를 손에 넣는다. 유출된 패스워드 목록은 보통 다크웹에서 손쉽게 구할 수 있다.

또한, 유출된 패스워드 목록과 이메일, 사용자 이름을 조합하여 AI를 훈련한 뒤 패스워드를 추적하고, 패스워드를 추측하는 사례도 발견되었다.

다수 기업의 IT 부서는 까다로운 패스워드 생성 조건도 보안에 도움이 되지 않는다는 사실을 깨닫고, 생체 인증과 2단계 인증 방식을 채택한다. 생체 인증과 2단계 인증을 이용하여 계정 보안을 강화할 수 있으나 이마저도 해커 세력이 우회할 수 있는 방법이 발견돼, 처음 등장했을 때만큼 보안 수준이 훌륭하지는 않은 것으로 드러났다.

혹은 인증 앱을 이용하는 등 패스워드가 없는 로그인 방식을 대신 선택할 수 있다. 그러나 2단계 인증 방식이나 패스워드 없는 로그인 방식 채택 비율이 그리 높지는 않다. 가장 큰 이유는 불편하다는 단점 때문이다. 많은 사용자가 각각의 계정을 로그인할 때마다 추가 인증 요소를 채택하거나 별도의 인증 코드를 받고 로그인하는 방식이 번거롭다고 생각한다.

게다가 패스워드 없는 로그인 방식은 아직 일부 기기에서 지원되지 않는다는 점도 대규모 채택의 걸림돌로 작용한다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]