인터넷 로그인 비밀번호 보안성 대폭강화

 정부는 사용자가 안전한 인터넷 로그인 비밀번호를 이용하고 있는지를 알 수 있는 소프트웨어(SW)를 연내 개발, 내년부터 주요 포털과 금융기관에 보급하기로 했다.

 24일 정보통신부와 한국정보보호진흥원(KISA)은 주요 포털과 금융기관·온라인쇼핑몰의 상당수가 자동화된 해킹 프로그램만 있으면 몇 분 안에 사용자의 로그인 비밀번호를 알아낼 수 있는 등 비밀번호 보안이 허술하다는 지적에 따라 인터넷 사용자가 안전한 비밀번호를 사용하고 있는지를 확인할 수 있는 SW를 연내 개발, 주요 포털·금융기관과 협의를 거쳐 보급에 나서기로 했다고 밝혔다. 본지 10월 19일자 1면 참조

 KISA는 올해 말까지 웹사이트 회원 가입 등 비밀번호를 입력할 때 사용자가 입력한 비밀번호가 어느 정도 안전한지 알려주는 기능을 제공하는 프로그램을 개발, 자체 홈페이지에 시범 적용한 후 내년 초 주요 인터넷 사이트에 확대 보급할 계획이다.

 비밀번호 검증 프로그램은 비밀번호의 길이 및 문자 구성을 검사할 수 있도록 개발할 방침이다. 또, 비밀번호 패턴과 사전에 포함된 단어 사용 여부 등 2단계 검사로 △최상 △상 △중 △하 4단계로 비밀번호 안전성을 구분하도록 할 예정이다.

 이와 함께 KISA는 취약한 비밀번호 사용에 따른 개인정보 노출 위험 방지를 위해 ‘안전한 비밀번호 선택 및 이용 가이드라인’을 발간하고 인터넷서비스 제공자는 물론이고 사용자에게 안전한 비밀번호 이용을 적극 권고할 방침이다.

 전길수 KISA 암호응용팀장은 “비밀번호는 인터넷 환경에서 본인확인 수단으로 가장 많이 사용되고 있으나 중요성에 대한 사용자 인식이 낮고 비밀번호 관련 지침 및 가이드라인이 없어 안전성을 확보하기가 어려웠다”며 “안전성 검증 SW와 가이드라인으로 사용자와 인터넷 서비스 제공자에게 신뢰할 수 있는 비밀번호 생성 방법 및 관리 기준을 제시할 것”이라고 말했다.

  김인순·한세희기자@전자신문, insoon@

 



다음의 체크리스트 항목 중 하나 이상의 ‘예’가 있다면 해당 비밀번호는 취약하다.

o 두 종류 이하의 문자로 8자리 이하 길이로 구성된 비밀번호

o 문자구성과 관계없이 7자리 이하 길이로 구성된 비밀번호

※ 문자 종류는 알파벳 대문자와 소문자·특수기호·숫자 네 가지를 의미

o 한글·영어 등을 포함한 사전적 단어로 구성된 비밀번호, 특히 스펠링을 거꾸로 구성한 비밀번호도 포함

o 컴퓨터 용어·사이트 명·기업명 등의 특정 명칭으로 구성된 비밀번호를 포함해 널리 알려진 단어로 구성된 비밀번호

o 특정 인물의 이름을 포함한 비밀번호

o 한글의 발음을 영문으로, 영문단어의 발음을 한글로 변형한 형태의 비밀번호

※ 예) 한글의 ‘사랑’을 영어 ‘SaRang’으로 표기하는 비밀번호, 영문자 ‘LOVE’의 발음을 한글 ‘러브’로 표기하는 비밀번호

o 가족·생일·주소·휴대전화번호 등 제3자가 쉽게 알 수 있는 개인정보를 바탕으로 구성된 비밀번호

o 동일한 문자의 반복, 키보드 상에서 연속한 위치에 존재하는 문자 등 특정 패턴이 존재하는 비밀번호

o 숫자와 영문자를 비슷한 문자로 치환한 형태를 포함하는 비밀번호

※ 예) 영문자 ‘O’를 숫자 ‘0’으로, 영문자 ‘l’을 숫자 ‘1’로 치환 등의 비밀번호

o 시스템에서 예제로 제시되고 있거나 시스템에서 초기에 설정돼 있는 비밀번호

o 해당 시스템에서 사용자가 이전에 사용했던 비밀번호