‘숫자, 대문자, 소문자, 특수문자를 포함한 8자 이상 비밀번호를 설정해주세요’ 이런 요구에 따라 비밀번호를 생성해도, 웹사이트나 소셜미디어 계정을 해킹 당하는 사례가 발생하고 있다. 사전 확보한 아이디와 비밀번호 정보를 무작위로 대입해 로그인하는’ 크리덴셜 스터핑’ 공격 때문이다.
이런 공격에 대비하는 방법을 없을까. 19일 국내보안업체 안랩은 7월 정보보호의달을 맞아 ‘안전한 비밀번호 만드는 팁’을 공유했다.
먼저 안랩은 비밀번호를 사이트마다 다르게 설정하라고 당부한다. 비밀번호 뒤에 ‘!’ 혹은 ‘#’ 같은 특수문자를 붙여도, 해커들이 이미 사용자의 비밀번호 패턴을 파악해 놨다면 계정을 보호하기 어렵다. 같은 비밀번호를 공유하는 대신, 사이트별로 비밀번호를 다르게 만들라는 것이다. 비밀번호를 생성할 때 해당 사이트의 영문 주소를 활용하는 것도 방법이다. 예를 들어 안랩(ahnlab) 홈페이지에서 회원가입을 할 경우, 비밀번호를 ‘ahn+자주 쓰는 비밀번호+lab’으로 설정하는 식이다.
사이트별로 비밀번호를 다르게 설정하는 것이 번거롭다면 쉼표(,)를 추가하는 방법도 있다. 안랩은 “해커들은 비밀번호를 해킹한 뒤 자동화 툴에 비밀번호를 정렬하는데, 비밀번호 사이에 쉼표를 넣으면 하나의 비밀번호로 인지하지 못한다”며 “이로 인해 비밀번호가 유출되더라도 피해를 줄일 수 있다”고 설명했다.
이외에도 안랩은 스마트폰 사용자들이 지켜야 할 기본 보안 수칙도 전했다. 우선 공공장소에서 무료 와이파이를 사용할 때 제공자를 확인하고, 가급적 금융 거래를 하지 않는 편이 좋다. 해커가 공유기를 해킹하거나 기관을 사칭한 무료 와이파이를 개통한 뒤 해당 와이파이에 접속한 모든 기기의 정보를 탈취할 수 있기 때문이다. 출처가 불분명한 기차표, 항공권, 택배, 안부 인사 등 정보성 문자 메시지 열람 및 URL 실행을 자제해야 한다.
비밀번호 입력이 복잡해지지만 보안은 취약하다는 지적이 이어지면서, 테크기업들은 패스키(passkeys) 기술을 도입하고 있다. 패스키는 사용자의 생체 인증이나, 화면 잠금 개인 식별 번호(PIN)를 활용해 로그인하는 방식이다. 보통 패스키는 스마트폰 같은 기기에 저장된다. 구글은 지난 5월 패스키를 통해 사용자의 지문과 얼굴을 인식해 로그인할 수 있도록 했다. 만약 패스키가 저장된 기기를 분실할 경우 구글 계정에서 바로 패스키 기능을 취소할 수 있다.