지난 5월 19일 링크드인 1억 1700만명 비밀번호 유출, 6월 1일 텀블러 계정 6,500만개 암시장서 거래 비밀번호 초기화 필요, 10일 트위터 계정 3,289만개 비밀번호 유출 등 이것은 최근 비밀번호 유출기사의 타이틀들이다.
개인들의 SNS 계정 및 각종 사이트가 해킹되며, 지속적으로 비밀번호 및 개인정보가 유출되는 사고가 반복되고 있다.
우리나라는 개인정보보호법, 신용정보법등 각종 개인정보 관련 법률 등을 변경하며 개인정보 유출에 대한 정책을 강화하고 있다. 그리고 이런 개인정보 및 비밀번호가 유출되는 등의 사고 예방을 위해 비밀번호 작성 규칙, 권장 규칙 등을 수립해 배포하고 있다.
그러다 보니 많은 사이트들에서 주기적으로 비밀번호 변경을 요구하고 있다. 변경 기준은 보통 숫자 및 영문자, 기호 포함 8자이상을 기준으로 한다. 보통 조금 기준이 강화된 사이트의 경우 전에 비밀번호와 유사하거나 반복되는 영문자나 숫자가 있으면 안 되는 기준에 적합한 정도로 비밀번호를 설정하도록 유도한다.
심한 사이트의 경우에는 영문 대문자, 소문자, 숫자, 기호 포함 9자리 이상을 만들면서 자릿수마다 선택할 수 있는 문자나 기호 등을 제한하여 평소에는 전혀 보지도 못한 비밀번호를 만들어버리게 한다. 물론 이렇게 만든 비밀번호가 암호 해독 방지에 유리한 것은 사실이다.
각종 기준과 관리를 강화하고 있는 데 이런 정책을 비웃듯 유출사고는 줄지 않고 지속적으로 늘어나고 있다.
이러한 현실에서 유독 다른 기사 하나가 눈에 들어온다. 바로 그 기사는 지난 5월 12일 모 사이트에 실린 “비밀번호를 강제로 바꾸게 하는 게 오히려 보안에 더 취약하다”라는 기사이다.
이 기사의 내용은 영국정보통신본부는 국가정보보증기술국(CESG)이 2015년에 발표한 비밀번호 운용 지침에서, 정기적으로 비밀번호를 변경하는 것에 대해 명백하게 반대하고 있다는 내용이었다.
그 이유들로 일단 사용하는 사람이 기억을 못한다, 고심 끝에 돌려 막기를 하게 된다, 내 머리보다 종이를 믿게 된다, 마지막으로 바꿀수록 취약해진다는 내용들이었다.
일단 기자 스스로 이 기사의 이유들을 보며 고개가 끄덕여졌다. 이 기사를 읽는 독자들 중 일부를 제외하고는 그럴 것이다.
차이점이라면 휴대폰의 다른 어플을 이용해 비밀번호를 메모하고 있는 사람, 아니면 컴퓨터의 문서나 엑셀 등에 저장하는 사람 정도일 것이다.
비밀번호를 바꾸는 것이 좋다, 안 좋다 에 대한 논란은 커지고 있다. 하지만 분명한 건 비밀번호를 바꾸는 게 좋더라도 왠지 많은 사람들이 비밀번호를 기억하지 못해 어디엔가 기록하고, 고심 끝에 돌려 막기를 하게 만들고 있다면 현재의 방식이 더 취약한 것이라고 생각된다. 국가나 관공서의 기준을 지켰다고 해서 대체 방안을 고민하지 않고 있는 업체들의 대응이 아쉽다.
기자는 얼마 전 중소기업 서비스 업종에서 근무하는 친구의 고충을 듣게 됐다. 회사 내 VPN 망을 구축하고 있는 데 쉽지 않다는 이야기였다.
또 업체들에서 제안서를 제출할 때는 각종 기능들을 설명하며 이렇게 구축하면 보안이 강화 된다 라고 하더니 정작 설치하고 났더니 이런 문제가 있다며 이 기능은 안 쓰시는 게 낫다라는 이야기를 한다는 것이다.
그 대표적인 것이 IPS(침입방지시스템)기능 이였다. 이유는 오작동이 많아 IPS 기능을 켜두시면 일반적인 업무를 진행하는 게 힘들 것이라는 이유였다고 한다. 그 친구는 그 전 UTM 장비를 이용할 때도 IPS 기능을 켜두었다가 업무 자체가 어려웠던 기능이 있어 기능을 최소한으로 제한했다고 했다.
정부의 보안 기준에 맞춰 보안 강화를 위해 장비를 도입하기 했지만 업무를 위해 기능의 사용을 제한해야 한다는 사실이 아이러니하다.
최근 랜섬웨어가 유행하며, 랜셈웨어의 피해 금액이 지속적으로 늘어나고 있다. 배너 광고를 통해 웹사이트에 접속하는 것만으로도 감염되는 피해사례도 발생하고 있다.
이러한 문제가 심각해지자, 미래창조 과학부 관계자는 이에 대응책으로 윈도우와 백신만 잘 업데이트해도 랜섬웨어의 상당 부분을 막을 수 있다고 말했다고 한다.
반면, 전문가들은 익스플로어보다 크롬이나 파이어폭스 등 다른 웹 브라우저를 사용하는 편이 안전하다고 권장한다. 또한 랜섬웨어가 어도비리더나 플래시 플레이어의 취약점을 이용하는 만큼 검증되지 않은 웹사이트들을 방문할 경우 플래시플레이어가 작동하지 않도록 설정하고 방문할 것을 권장한다. 정부의 말과 현실이 전혀 맞지 않다.
정부에서 윈도우를 잘 업데이트 하라고 하는 데 보안을 위한 업데이트를 선택하거나 익스플로어 보다 안전하다는 크롬으로는 정부 및 관공서 사이트들을 접속하면 사용이 어렵다. 플래시 플레이어를 기능을 제한할 경우 기능을 이용하지 못하는 사이트가 너무 많다.
정부는 개인정보 및 보안 강화라는 이유로 각종 정책과 기준들을 쏟아내어 기업들에게 그러한 시스템과 기준을 만들어가라고 강요한다. 하지만 앞의 사례들처럼 그 정책과 기준이 전혀 현실과 맞지 않는다.
누군가 건들기만 해도 무너질 듯한 허름한 울타리를 만들어 놓고 안전하다고 말하는 모습이다. 아직은 늦지 않았다는 생각이다. 허름한 울타리가 손 쓸 수 없이 망가지기 전 정부가 현실에 맞는 정책과 기준을 제시하여 말 뿐인 보안이 아닌 진정한 보안이 이뤄지기를 바래본다.
