|
[안철수연구소 2008-01-22]
매일 수십 개의 사이트에 다른 사이트를 접속하면서 똑같은 아이디와 패스워드를 사용하고 있지는 않은가.
사이버상에서의 나의 신분증인 아이디와 패스워드. 그러나 안전성보다는 편리성이 우선시되는 것이 현실이다.
만약 아이디와 패스워드가 유출된다면 사용자의 개인 메일 정보, 금융 정보 등이 타인에게 유출∙도용될 수 있다.
따라서 사용자는 안전한 패스워드를 설정하고 이용하여야 하며, 안전하게 관리해야만 한다.
최근 한국정보보호진흥원(KISA)이 발표한 인터넷 이용자를 위한 ‘패스워드 선택 및 이용 가이드’를 살펴보자.
안전한 패스워드란
제3자가 쉽게 추측할 수 없으며, 시스템에 저장되어 있는 사용자 정보 또는 인터넷을 통해 전송되는 정보를 해킹하여 사용자의 패스워드를 알아낼 수 없거나 알아낸다 하더라도 많은 시간이 요구되는 패스워드를 말한다.
이런 패스워드는 사용하지 마세요
- 7자리 이하 또는 두 가지 종류 이하의 문자구성으로 8자리 이하 패스워드
- 특정 패턴을 갖는 패스워드
동일한 문자의 반복 예) ‘aaabbb’, ‘124123’
키보드 상에서 연속한 위치에 존재하는 문자들의 집합 예) ‘qwerty’, ‘addfgh’
숫자가 제일 앞이나 제일 뒤에 오는 구성의 패스워드 예) ‘security1’, ‘1security’
- 제3자가 쉽게 알 수 있는 개인정보를 바탕으로 구성된 패스워드
가족이름, 생일, 주소, 휴대전화번호 등을 포함하는 패스워드
- 사용자 ID를 이용한 패스워드
예) 사용자의 ID가 ‘KDHong’인 경우, 패스워드를 ‘KDHong12’ 또는 ‘HongKD’로 설정
- 한글, 영어 등을 포함한 사전적 단어로 구성된 패스워드
예) ‘바다나라’, ‘천사10’, ‘love12’
- 특정 인물의 이름이나 널리 알려진 단어를 포함하는 패스워드
컴퓨터 용어, 사이트, 기업 등의 특정 명칭을 포함하는 패스워드
유명인, 연예인 등의 이름을 포함하는 패스워드
- 숫자와 영문자를 비슷한 문자로 치환한 형태를 포함한 구성의 패스워드
예) 영문자 ‘O’를 숫자 ‘0’으로, 영문자 ‘I’를 숫자 ‘1’로 치환
- 기타
시스템에서 초기에 설정되어 있거나 예제로 제시되고 있는 패스워드
한글의 발음을 영문으로, 영문단어의 발음을 한글로 변형한 형태의 패스워드
예) 한글의 ‘사랑’을 영어 ‘SaRang’으로 표기, 영문자 ‘LOVE’의 발음을 한글 ‘러브’로 표기
안전한 패스워드 생성 Tip
- 기억하기 쉬운 패스워드 설정 방법
특정명칭을 선택하여 예측이 어렵도록 가공하여 패스워드 설정
특정명칭의 홀•짝수 번째의 문자를 구분하는 등의 가공방법을 통해 설정
국내 사용자는 한글 자판을 기준으로 특정명칭을 선택하고 가공하여 설정
※ 예) ‘한국정보보호진흥원’의 경우, 홀수 번째‘한정보진원’이‘gkswjdqhwlsdnjs’로, 짝수 번째‘국보호흥’이 ‘rnrqhghgmd’로 사용
- 노래 제목이나 명언, 속담, 가훈 등을 이용•가공하여 패스워드 설정
※ 영문사용의 경우,‘ This May Be One Way To Remember’를‘TmB1w2R’이나‘Tmb1w>r~’로 활용
※ 한글사용의 경우,‘ 백설공주와 일곱 난쟁이’를‘백설+7난장’로 구성하고‘QorTjf+7SksWkd’등으로 활용
단, 일부 웹사이트의 경우에 특수문자가 SQL 인젝션 공격에 이용될 수 있다는 점을 고려해 아이디, 패스워드 생성시 특수문자 사용을 제한하는 사례도 있다는 점을 밝혀둔다.
- 예측이 어려운 문자구성의 패스워드 설정방법
알파벳 대•소문자를 구별할 수 있을 경우, 대•소문자를 혼합하여 설정
특정위치의 문자를 대문자로 변경하거나, 모음만을 대문자로 변경
※ 예)‘ gkswjdqhwlsdnjs’→‘gKsWjDqHwLsDnJs’,‘ rnrqhghgmd’→‘rNrQhGhGmD’
- 사이트별 상이한 패스워드 설정을 위한 방법
자신의 기본 패스워드 문자열을 설정하고 사이트별로 특정 규칙을 적용하여 패스워드 설정
※ 예) 패스워드 문자열을‘486*+’로 설정하고, 사이트 이름의 짝수 번째 문자 추가를 규칙으로 yahoo.com는 ‘486*+ao.o’, google.co.kr는‘486*+ogec.r’등으로 활용
패스워드 보안 지침
- 사용자는 안전한 패스워드를 설정하여 사용해야 한다.
- 초기 패스워드가 시스템에 의해 할당되는 경우, 사용자는 빠른 시간 내에 해당 패스워드를 새로운 패스워드로 변경해야 한다.
- 사용자는 패스워드를 주기적으로 변경해야 하며, 권장하는 패스워드 변경주기는 6개월이다.
- 패스워드 변경 시, 이전에 사용하지 않은 새로운 패스워드를 사용하고 변경된 패스워드는 이전 패스워드와 연관성이 없어야 한다.
- 자신의 패스워드가 제3자에게 노출되지 않도록 해야 한다.
패스워드를 메모지 등에 기록할 경우, 메모지는 항상 자신이 소유하고 있거나 안전한 장소에 보관함으로써 외부로 노출되지 않도록 해야 한다.
- 제3자에게 자신의 패스워드의 관련된 정보 및 힌트를 제공하지 않아야 한다.
- 자신의 패스워드가 제 3자에게 노출 되었을 경우, 즉시 새로운 패스워드로 변경해야 한다.
|
이올린에 북마크하기
이올린에 추천하기
