엔시스의 정보보호(보안) 따라잡기

인터넷이 생활 속에 자리 잡으면서 수 많은 웹사이트에 가입을 위한 아이디와 패스워드를 생성한다. 웹

사이트에서 사용자 식별을 위한 가장 많이 사용하는 쉬운 방법이기도 하기 때문이다. 그런데 여러 웹사이트에 가입을 하다보니 대부분 같은 아이디와 패스워드를 사용하게 되고, 한 곳에서 아이디와 패스워드가 유출되면 다른 곳의 로그인도 쉽게 할 수 있게 된다. 이에 이번 호에서는 안전한 패스워드(비밀번호)를 어떻게 관리하면 되는지 정리 해 보고자 한다.

안일한 패스워드 관리, 누구든지 해킹 당할 수 있어

누구나 한 개 이상의 아이디와 패스워드 관리는 하게 된다. 처음 생성시 “아이디는 어떻게 만들까?” “　패스워드는 무얼하지? ” 로 한번쯤 고민한 적이 있을 것이다. 웹사이트 가입할 때 마다 다르게 생성하기도 어렵고 , 너무 길거나 복잡하게 하면 기억하기 어려워 자주 방문하지 않는 웹사이트 경우 늘 비밀번호 찾기 버튼을 눌러 재발급 경험이 있을 것이다. 이렇다보니 아이디와 비밀번호를 웹사이트 가입할 때마다 동일하게 사용하는 것이 현실이다. 주로 많이 사용하는 포털이나 인터넷뱅킹 대부분 동일한 아이디와 패스워드를 사용하는 경우가 많다. 패스워드가 한 곳에서 유출이 되면 다른 곳에도 안전하지 못하다.

악의적인 목적을 가진 공격자는 취약한 패스워드를 이용하여 아주 손쉽게 계정을 탈취한다. 이러한 계정 탈취는 또 다른 피해로 이어진다. 금융감독원 보도자료에 따르면 (13.12.5) 무역대금 금융사기가 계정 탈취로 인하여 증가하고 있다는 것이다. 다음은 피해사례를 정리한 것이다. 

※피해사례

위 사례에서 보는바와 같이 해외에 거래처가 있기 때문에 유선보다는 이메일을 통하여 주고 받는 것이 편리 하기 때문에 유선확인 없이 이메일로만 확인된 것으로 파악이 된다. 누군가 에 의해 계정이 탈취되고 패스워드가 노출 되었다는 이야기이다. 메일을 통하여 거래처를 속인 것이다. 만약 여러분의 계정이 탈취되어 알고 있는 지인에게 본인임을 사칭하여 이메일을 주고 받는다면 또 다른 피해가 일어나는 것은 자명한 것이다. 생각만 해도 오싹하다.

패스워드 관리는 사용자가 스스로 관리해야.

최근 구글 이메일에 다음과 같은 안내 메일을 받았다. 내용인 즉 , 누군가 필자의 구글 계정에 로그인 시도를 했다는 안내 메시지이다. 보안에 관련된 글이나 인터뷰를 자주 하다보니 의도적으로 테스트 삼아 시도하는 공격자가 있다. 그래서 더 패스워드 관리에 신경을 쓸 수 밖에 없다.

혹시나 하는 마음에 메일 확인 즉시 바로 패스워드를 바로 변경하였다. 이렇게 안내 메일이라도 보내주면 다행이지만 대부분 포털이나 쇼핑몰은 그렇지 않다. 사용자가 직접 패스워드 관리를 해야 하는 것이다. 이러한 원리는 최근 금융권에서도 많이 활용하고 있다. 자신이 주로 이용하는 IP주소와 지정된 PC가 아니면 이상 징후로 탐지 하는 것이다. 이상 징후가 탐지되면 정상적인 금융거래를 할 수 없다. 정상적인 거래를 위해서는 본인임을 입증해야 한다. 구글도 구글 서비스에 접속하고 있는 IP주소를 파악하고 있다가 그 범위를 벗어나게 되면 경고 메일을 보내주고 있는 것이다.

당신의 패스워드 얼마나 안전한가?

여러분의 패스워드는 얼마나 안전한지 점검하는 사이트가 있다. 패스워드를 어떻게 구성할 것인지를 적으면 얼마나 안전한지를 보여준다. 쉽게 말하면 패스워드가 풀리는데 얼마나 시간이 걸리는지를 알려주는 사이트이다.

▲ 패스워드 점검 사이트(http://howsecureismypassword.net/)

간단하게 몇 가지만 테스트 해 본 결과를 정리해 보자. 다음은 패스워드 해킹하는데 걸리는 시간을 나타낸 것이다.

1) 12345678 : 0.02초 (숫자)

2) abcdefg : 2초 (알파벳)

3) 3456cdef : 11분 (숫자 + 알파벳)

4) 3456*cde : 3시간 (숫자 + 특수문자 + 알파벳) - 총 8자리

5) 3456!@#cde : 344일 (숫자 + 특수문자 + 알파벳) - 총 10자리

물론 위 사이트가 얼마나 신뢰성이 있는지는 잘 모른다. 하지만 패스워드 관리를 함에 있어 자신의 패스워드를 어떻게 구성을 하면 안전하게 할 수 있는지를 가늠해 볼 수는 있다.

단 한 가지 주의 할 점은 위 사이트 메인 박스란에도 적혀 있지만 자신이 실제 사용하는 패스워드를 적어서 탈취 당하는 일이 없도록 주의하라는 문구가 적혀 있다. 이것은 패스워드 안전성을 측정해 준다고 하지만 유사한 사이트들이 많이 있어 패스워드를 탈취 할 수도 있다는 위험성을 알리는 것이다. 그러니 과거 사용했던 패스워드나 어떤 형태로 구성하면 안전한가 정도에서 검토해야지 실제 사용하는 패스워드를 적지 말도록 해야 한다.

패스워드 생성시 유의점과 안전한 관리를 위한 팁

그동안 필자도 패스워드에 대한 연구를 많이 하였고, 실제 패스워드 유출로 피해를 입는 사례도 많이 보았다. 주로 알고 있는 내용이지만 초보자 관점에서 다시 한번 상기하는 의미에서 조명해 보고자 한다. 패스워드 관리에 무관심 했던 사용자는 꼭 기억했다가 실행에 옮기도록 해 보자.

패스워드 생성시 유의점을 살펴 보면 다음과 같다. 잘 살펴보고 패스워드 생성 시에 활용토록 하자.

1) 패스워드 길이는 8자리 이상으로 한다.

-> 패스워드 길이가 짧은 것은 아무래도 긴 패스워드보다 풀릴 확률이 높다. 따라서 보통 8자리 이상으로 권장하고 있으니 규정에 따르도록 하자. 최근에는 컴퓨터의 기술 발전과 능력 향상으로 10자리 이상을 요구하기도 한다. 8자리도 안전하지 못하다는 것이다.

2) 주민번호,전화번호,생일 등 개인정보를 포함하는 것은 피해야 한다.

-> 패스워드에 자신의 주민번호나 집 전화번호,휴대폰 번호, 생일 등을 이용하는 경우가 있는데 굉장히 위험한 방법이다. 개인정보가 포함되어 있어 유출시 또 다른 피해를 입을 수 있다. 혹시 지금 사용하고 있다면 당장 변경하길 권한다. 보안사고는 사전 예방이 최고이다.

3) 사전(辭典)에 있는 단어나 문장,문구는 사용하지 말아야 한다.

-> 자신이 평소 좋아하는 단어나 문장을 이용하는 경우가 있다. 패스워드 크랙 공격 중에 사전 공격(Dictionary Attack)이라는 기법이 있다. 이는 사전에 있는 단어나 문장을 무작위로 대입시켜 패스워드를 유출하는 기법이다. 이 공격으로부터 자유롭지 못하기 때문에 사전에 있는 단어나 문장은 피하는 것이 좋다.

4) 숫자, 알파벳, 특수문자를 반드시 넣어서 구성한다.

-> 패스워드 구성의 이상적인 조합이 숫자, 알파벳, 특수문자 등을 조합하여 만드는 것이다. 그만큼 패스워드를 푸는데 시간이 오래 걸리기 때문이다. 대부분 웹사이트에서 요즘은 이 방법을 요구하고 있다. 이제는 패스워드도 복잡성을 요구하고 있는 것이다.

5) 각 사이트마다 다른 패스워드를 사용한다.

-> 누구나 알고는 있지만 사실 여러 사이트에 모든 패스워드를 다르게 하여 관리한다는 것이 쉽지만 않다. 그렇다 보니 동일한 아이디와 패스워드를 사용하게 된다. 이제는 다르게 생성하여 관리해 보면 어떨까? 다음과 같은 방법이 자주 언급되고 있으니 예시를 보고 여러분도 한번 응용해 보면 어떨까 싶다. 

※예시

6) 패스워드는 변경은 주기적으로 한다.

-> 안전한 패스워드를 2-3개를 만들어 놓고 주기적으로 변경하는 방법도 좋다. 보통 6개월에 한 번씩은 변경 하도록 하자. 물론 6개월보다 더 앞당겨 변경하여도 무방하다. 일정 시간이 지난 후에 로그인 시 웹사이트에서 패스워드 변경 알림을 알려주고 있는 경우가 많은데 <다음에 변경>으로 로그인 하지 말고 바로 패스워드 변경하여 실천하는 것이 자신의 계정을 안전하게 관리하는 방법이다.

7) 영문자판에 한글로 타이핑하여 패스워드를 생성한다

-> 패스워드 관리에 너무 신경을 많이 쓰게 되어 머리 아픈 사용자에게 좋은 방법이다. 패스워드 생성 시에 영문자판에서 한글로 패스워드를 생성하는 것이다. 한글문자 배열이 영문으로 되었을 경우 무작위 배열이 되기 때문에 해킹으로부터 조금 더 안전하다. 필자도 패스워드 관리 문의가 오면 이 방법을 추천한다. 평소 자신이 좋아하는 한글 문구나 좌우명 등 다양한 형태로 구성해도 좋다.

8) 최신 백신의 엔진등을 이용하여 키보드 타이핑으로 인한 유출을 막는다.

-> 해킹 기술의 발달로 패스워드 규칙만 가지고 대응하기에는 한계가 있다. 만약 자신의 PC가 악성코드에 감염이 되어 키로그(키보드 자판시 그대로 정보 유출되는 해킹기법)로 인하여 자신이 타이핑한 것이 그대로 공격자에게 전달이 된다면 아무런 소용이 없다. 따라서, 악성코드에 감염이 되지 않도록 최신 백신을 설치하고 엔진을 업데이트 하여 실시간 감시토록 하는 것이 중요하다.

더 많은 관리 방법들이 있겠지만 간략하게 살펴 보았다. 보통 패스워드 관리 안내를 보면 일상적인 내용이지만 잘 실천하지 않는 것이 현실이다. 그것은 너무 복잡하거나 어렵게 만들면 관리에 효율성이 떨어지고 일일이 사람이 기억해야 하는 것이 불편하기 때문이다. 그럼에도 날로 발전하는 컴퓨터와 해킹 기술에 대응하기 위해서는 더 복잡하고 안전한 패스워드를 요구하게 된다.

온라인에서 본인임을 식별할 수 있는 가장 쉬운 방법으로 아이디와 패스워드가 널리 사용되는 만큼 패스워드 관리에 신중을 기할 필요가 있다. 어쩌면 보안이라는 것이 너무 멀리 있고 어렵게만 있는 것이 아니라 자신이 할 수 있는 가장 가까운 곳에서 직접 실천하는 것이 스스로를 지킬 수 있는 최선의 보안이 아닌가 생각해 보았다. 여러분들도 가장 쉽고 안전하게 관리 할 수 있는 패스워드 관리 방법이 있다면 서로 공유하여 함께 사용해 보는 것도 좋겠다. 보안은 실천이다. 패스워드 관리 소홀에 대한 책임은 고스란히 사용자에게 있다.

지금 당장 자신의 패스워드 관리가 허술하다면 본문을 참고하여 강력한 패스워드로 변경하길 권해본다. 다음 3회에는 개인정보처리단계별 의무 조치사항과 처벌에 대하여 자세히 잘 펴 보도록 하겠다.

*  본 포스팅은 부산시에서 운영하는 블로그 '쿨부산'에 기고된 내용임을 밝힙니다.

2014년 8월7일 개인정보보호법 개정에 따라 '주민번호수집 법정주의'가 시행이 되었다. 주민번호 수집을 법에 근거하지 않고는 수집할 수 없다는 것이 주요골자다. 한번 유출된 주민등록번호는 변경할 수 없는 단점이 있어 이를 보완하기 위한 수단으로 온라인에서 사용하는 ‘아이핀(I-PIN)’과 오프라인까지 사용을 확대한 ’마이핀(My-PIN)'에 대하여 알아보고 발급 절차와 활용에 대하여 소개 하고자 한다.

카드3사 개인정보유출로 올해 보안 최대 화두 ‘개인정보보호’

1월 카드 3사 개인정보 유출로 인하여 보안의 최대 화두는 ‘개인정보보호’에 관심이 집중되고 있다. 그럼 이번 카드 금융정보 유출은 왜 유독 관심을 받을까? 그동안 개인정보유출은 없었던 것일까? 이유는 카드관련 금융정보 유출로 개인이 직접적인 피해를 입을 수 있기 때문이다. 일반적인 개인정보 유출로 2차, 3차 피해가 생긴다고 하지만 개인들은 무관심 했다. 하지만 카드관련 개인정보는 쇼핑몰등에서 유출된 정보로 결재까지 이루어질 가능성이 제기되어 더 관심을 가진 것이다.

한국신용카드학회(대한상공회의소에서 개최한 춘계세미나)에서 김상봉 한성대학교 교수는 "카드 3사의 카드 재발급 비용 286억원, 사고수습 비용 173억원, 탈회 만회 비용 1649억원, 집단소송 패소 시 발생할 비용 1712억원, 영업정지에 따른 손실 비용 1072억원 등 추정 손실액이 총 4892억2000만원 달한다"고 말했다. (출처: 스페셜경제)

개인정보 유출시 수습하기 위한 사후 비용이 많이 든다. 위 카드 3사의 경우 약5000억 정도 비용이 들어갈 것으로 예측하였다. 이제는 개인정보 유출시 수습도 중요하지만 사전예방이 더 중요하다는 새로운 패러다임 인식의 전환이 필요한 때이다.

주민번호수집 법정주의와 ‘My-pin' 은 무엇인가?

개인정보보호법은 2011년9월30일 제정이 되었다. 제정전 공공기관은 ‘공공기관에 관한 개인정보보호법률’과 민간은 ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 정보통신망법)’에 적용이 되었다. 개인정보보호법 제정으로 ‘공공기관에 관한 개인정보보호법률’은 폐지가 되고, ‘정보통신망법’의 준용사업자가 망법이 아닌 개인정보보호법에 적용을 받음으로써 공공과 민간을 모두 포함하는 개인정보보호법이 제정이 된 것이다. 정부에서는 기존 50만 사업자에서 350만 사업자까지 확대 적용된다고 발표하였다.

온라인에서 영리성을 추구하는 포털이나 온라인 쇼핑몰등은 정보통신망법에 우선 적용을 받는다. 법 제정이후 2013.08월에 개인정보보호법 개정이 이루어졌다. 주요내용은 다음과 같다. △ 정보주체의 동의가 아닌 법에 의한 주민번호 수집 이용 △ 주민번호 유출시 5억원이하의 과징금 △ 책임 있는자에 CEO, 임원 포함 명확화 등이다. 법개정이 공포되고 1년후 시행이 된다. 2014년8월7일 법적 효력이 발생된다. 개정된 이유는 개인정보보호법 제정이후에 올해 카드3사 개인금융정보 유출과 같은 반복적인 이슈가 생겼기 때문이다. 정부는 부담이 될 수밖에 없다. 여론이 거세지자 법을 개정하여 조금 더 강화하게 된 것이다. 안전행정부에서는 법 개정된 사항이 시행되더라도 2015년2월까지 6개월 동안 계도기간을 준다고 한다.

그럼 법에 근거하지 않고 주민번호를 써야 하는 경우에는 어떻게 해야 하는가? 즉 주민번호를 대체할 수 있는 수단은 어떤 것이 있는가? 대표적인 것이 ‘아이핀(I-PIN'과 ’마이핀(My-PIN)'이 있다. 쉽게 설명하면 아이핀은 온라인에서 마이핀은 오프라인에서 주민번호 대신에 사용할 수 있는 식별번호로 생각하면 된다.

1. 마이핀(My-PIN) 소개

마이핀(My-PIN)은 인터넷이 아닌 오프라인(일상생활)에서 사용할 수 있는 본인확인수단으로서 개인식별 정보가 전혀 포함되어 있지 않은 13자리 무작위 번호를 의미한다.

인터넷이 아닌 일상생활에서 회원가입 신청서 등에 주민번호 대신 마이핀(My-PIN)을 입력, 사업자는 본인확인기관을 통해 My-PIN 정보로 신원을 확인 가능하다. 주요특징은 다음과 같다. ① 13자리의 임의의 숫자 ② 개인정보 미포함 ③ 필요시 변경(연 5회) ④ 유효기간 3년이다.

마이핀 구성 체계(13자리)

▲ 마이핀 구성체계(출처: 안전행정부, privacy.go.kr)

주민등록번호가 아닌 13자리 임의의 숫자를 이용하여 대신 사용가능하다. 이는 필요시 변경가능하고 유효기간은 3년이다.

2. 주민등록번호, 아이핀, 마이핀 어떻게 다른가?

마이핀(My-PIN) 특징을 조금 더 세부적으로 살펴보면 다음과 같다. ① 마이핀에는 나이, 성별등이 포함되어 있지 않는 식별 번호로 되어 있다. ② 변경이 가능하여 유,노출 및 도용시 피해를 최소화 할 수 있다. ③ 마이핀 하나로 포인트 적립 및 서비스 연계의 편리성을 제공해 준다. ④ 마이핀 사용내역을 이메일이나 휴대폰 알림으로 알 수 있어 안전성을 제고 한다. ⑤ 받고 싶은 사람만 발급받는 번호다. 아래 도표는 기존에 사용하는 주민번호와 아이핀 그리고 마이핀의 특징을 잘 구분하여 보여 주고 있다.

 ▲ 주민번호,아이핀,마이핀 비교 (출처: 안전행정부, privacy.go.kr)

3. 마이핀(My-PIN) 발급 절차

현재 온라인에서 마이핀을 발급 받을 수 있는 기관은 다음과 같다. 공공아이핀, 나이스신용평가정보, 서울신용평가정보, KCB가 발급 기관이다.

▲ 마이핀 발급기관 (출처: 안전행정부, privacy.go.kr)

홈페이지에 쉽게 접근하는 방법은 검색사이트나 포털사이트에서 기관명 검색하는 것보다

도메인을 직접 브라우저에 작성하여 접속하는 것이 빠르다. 이유는 공공아이핀을 제외한 나머지 기관들은 메인홈페이지와 아이핀/마이핀 홈페이지를 따로 운영하기 때문이다. 홈페이지 도메인은 위 표 제일 하단을 참고 하면 된다. 발급방법은 온라인 홈페이지를 접속하여 발급하는 방법과 오프라인 읍,면사무소 및 주민센터를 직접 방문하여 이용하는 방법이 있다.

① 온라인 홈페이지를 이용한 발급방법

온라인에서 마이핀을 발급 받기 위해서는 우선 아이핀 발급 절차를 따라야 한다. 가입절차에 따라 정보입력시 ‘마이핀 발급’ 에 체크를 해 주면 된다.

▲ 아이핀 발급시 ‘마이핀체크’

발급절차를 완료한 후 발급받는 마이핀 번호는 반드시 기억하고 있어야 한다. 또 발급 다른 방법으로는 아이핀이 도입된 웹사이트 (본인 확인창)에서 ‘신규 발급’ 버튼을 클릭하면 홈페이지에서 제공하는 아이핀 기관 홈페이지로 연결이 된다. 같은 방법으로 발급 받으면 된다.

▲ ‘신규발급’ 버튼 클릭

② 읍,면사무소나 주민센터 직접 방문하여 발급하는 방법

나이가 있는 어르신이나 온라인 가입이 어려운 이용자들은 가까운 읍,면사무소나 주민센터를 직접방문하여 발급 받을 수 있다.

 ▲ 읍,면사무소 또는 주민자치센터 마이핀 발급절차 (출처: 안전행정부, privacy.go.kr)

가까운 읍,면사무소나 주민자치센터를 방문하여 마이핀 방문 발급신청서를 작성한다. 신청서와 신분증을 담당 공무원에게 제시를 한다. 신분증으로는 주민등록증,여권,운전면허증등 이며, 청소년은 청소년증, 학생증을 사용가능하다.

마이핀을 개설하기 전에 아이핀 아이디 생성은 필수다. 온라인과 다르게 오프라인 신청시 아이핀 비밀번호를 정할 수 없다. 이에 초기 비밀번호는 주민번호 뒤의 7자리가 우선 부여된다.

아이핀은 온라인상에서 주민번호를 대체하는 것이므로 이를 활성화시키기 위해 신청서에서 미리 선택해놓은 발급기관 사이트에 방문, 비밀번호를 재등록해야 한다. 담당 공무원은 마이핀 카드를 발급해 준다.

마이핀은 스마트폰용 앱을 통하여 발급 및 관리도 가능하다. 하지만 일부 발급기관에서는 특정 운영체제(안드로이드용)앱만 있고 아이폰용은 아직 준비중으로 사용자 불편이 예상된다. 빠른 서비스가 되어야 할 것이다.

▲ 스마트폰 앱을 이용한 마이핀 관리 (출처: 안전행정부, privacy.go.kr)

4. 마이핀 활용 방법

주민번호 대체수단으로서 마이핀(My-PIN) 활용 예시는 아래 그림과 같이 활용이 가능하다.

▲ 마이핀 활용예시 (출처: 안전행정부, privacy.go.kr)

아울렛이나 마트등에서 회원으로 가입할 때 주민번호를 사용하지 않고 발급 받은 마이핀을 이용하면 된다. 또한 ARS로 본인확인시에 마이핀 번호 13자리를 불러주면 된다. 학원이나 교육이수등 증명시 특정 개인을 구분할 때도 활용하면 된다. 물론 이러한 마이핀 활용을 확대하기 위해서는 서비스 업체 및 기관에서 마이핀과 연계하는 시스템과 업무 프로세스가 빨리 정착이 되어 있어야 할 것이다.

대한민국 국민이면 누구나 주민등록번호를 가지고 있다. 한번 유,노출이 되면 변경할 수 없어 그동안 많은 논란이 되어 왔다. 그렇다고 당장 주민번호를 없앨수도 없는 노릇이다. 그 대안으로 아이핀과 마이핀을 정부에서 주민번호 대체수단으로 시행을 하게 되었다. 마이핀은 이제 막 시작한 초기 단계라 갈길이 멀다고 본다. 예를들면 마이핀으로 사이트에 가입이 되었는데 유출이 되어 다시 변경하고 재발급 받았다고 가정하자. 가입한 사이트가 여러개라면 기존 마이핀번호를 사용자가 일일이 변경한다는 것은 어렵다. 이러한 문제도 살펴봐야 할 것이다.

마이핀이 지금이라도 주민번호 대체수단으로 시행하면서 수정 보완 작업이 필요하고, 가급적 주민번호를 통한 식별의 의존도를 줄이는 것이 정부의 목적일 것이다. 앞으로 많은 홍보와 교육을 통하여 활성화 시키는 것이 급선무이고, 개선점에 대해서는 꾸준히 수정 보완하여 주민번호 대체수단으로서 굳게 자리매김 하길 기대해 본다.

 * 본 포스팅은 부산시 공식 블로그인 "쿨부산"에도  시리즈로 매월 2회씩 발행되는 포스팅임을 알려 드립니다.