매경프리미엄스페셜리포트

까다로운 비밀번호 뒤엔 소비자에 책임미루는 관행

  • 최용성
  • 입력 : 2017.01.23 06:03
  • 프린트
  • 이메일
  • 페이스북
  • 트위터
  • 카카오스토리
  • 공유
프리미엄 첨부 이미지
[Tech Talk-80] 인터넷 인기 비번 '12345'의 진실  

재미있는 외신을 하나 봤다. 패스워드에 관한 거였다. 인터넷에서 가장 많이 사용되는 패스워드가 '12345'라는 내용이었다. 인터넷 초창기 시절 뉴스가 아니다. 지난해 인기 패스워드 톱25 뉴스다. 패스워드 관리 애플리케이션 '키퍼'라는 곳에서 1000만개 이상 패스워드를 조사한 결과다. 조사 대상의 무려 17%가 비번으로 '12345'를 쓰고 있는 것으로 나타났다. 2위라고 별반 다를 것도 없다. '123456789'다. 3위는 영문 자판 왼쪽 윗부분을 일렬로 누르면 나오는 'qwerty'다.

 세상에. 이 뉴스가 정말 지난해 인터넷 비밀번호 관련 뉴스인지 의심이 들 정도다. 외신에 따르면 이처럼 허술한 비번 순위는 지난 몇 년간 거의 변하지 않은 것이라고 한다. 인기 있는(?) 비번 상위 10개 중 4개, 상위 15개 중 7개가 6자 이내였다. 여전히 많은 사용자들이 '111111'이나 'password'와 같은 비번을 애용하고 있다. 이런 패스워드는 간단한 해독 소프트웨어로 단 몇 초면 뚫린다. '1q2w3e4r'이나 '123qwe' 등과 같이 불규칙한(정확히는 그렇게 보이는) 패턴을 사용한 것도 있다. 그러나 이런 비번도 자세히 보면 컴퓨터 자판 왼쪽 윗부분 숫자와 영문을 차례대로 번갈아 눌러 만든 것에 지나지 않는다. 해독 프로그램을 돌리면 단지 2~3초 더 걸릴 뿐이라고 한다.

 '18atcskd2w' '3rjs1la7qe'처럼 매우 훌륭한 비번도 순위권에 들었다. 하지만 이상하지 않은가. 완벽한 비번인 듯한데, 순위권에 들다니. 이유가 있다. 무료 이메일 서비스의 경우 스팸이나 피싱 공격에 대응해 가상 계정을 만드는데, 이런 계정 비번은 주로 로봇이 자동적으로 만든다. 결국 사람이 사용하지 않는 계정이라는 점에서 이런 비번은 의미가 없다.

 수많은 보안 전문가들이 "보안을 위해 안전한 패스워드를 사용해야 한다"고 강조하고 있지만 헛수고였던 셈이다. 사람들은 보안보다 간편함을 더 중요하게 여기고 있다는 방증이다.

 재미있기는 하지만 납득하기 어렵다. 사용자 각성을 촉구하는 내용이긴 한데, 이게 현실에서는 기술적으로 불가능하지 않은가 말이다. 요즘 어떤 인터넷 서비스 하나 가입하려고 하면 귀찮은 게 한두 가지가 아니다. 사용자번호(ID) 중복을 피하는 문제는 한참 전 얘기다. 워낙 해킹 사고가 빈발하다 보니 업체들은 가능하면 까다로운 비번을 요구한다.

 지난해 1위를 차지했다는 '12345'와 같은 비번은 국내에서 아예 먹히질 않는다. 8자 이상을 요구하고, 대소문자 구별을 하라고 한다. 숫자는 물론 특수키까지 조합해 복잡하게 만들라고 한다. 주민번호를 입력하게 돼 있는 국내 어떤 인터넷 서비스는 비번에 숫자를 반드시 넣어야 한다고 해서 생일 4자리를 입력했더니 "비밀번호에 생일을 넣으면 안된다"는 경고 메시지를 보낼 정도였다. 이렇게 어렵게 만든 비번도 3개월에 한 번씩 바꾸라고 성화다. 나중에 바꾸라는 선택 메뉴가 있는 곳은 그나마 양반이다. 바꾸지 않으면 접속 자체를 막는 서비스도 있다.

 이렇게 어려운 비번을 사용하는 탓에 정작 필요할 때 해당 서비스를 사용하지 못해 곤란을 겪은 것은 기자의 경험만은 아닐 것이다. 별도 메모장에 특정 서비스 ID와 비번을 정리해 둬야 하는 코미디 같은 상황이 발생하곤 한다. 그래서 요즘은 페이스북이나 지메일 혹은 네이버 ID와 비번으로 간단히 가입하게 하는 서비스가 인기를 끌고 있기는 하다.

 가입 절차의 간단함이 얼마나 중요한가는 소셜네트워크서비스(SNS) 초창기 시절 '카카오톡'과 옛 다음의 '마이피플' 경쟁 상황에 잘 나타나 있다. 두 서비스 모두 특별히 다른 점은 없었다. 다만 마이피플은 카카오톡에 없는 음성통화 기능이 있어 오히려 기술적으로는 한발 앞서 있다는 평가를 받기도 했다. (소녀시대 멤버들이 '카카오는 말을 못해!'라며 답답해 하는 마이피플 광고를 기억하시는지?) 하지만 사람들은 마치 포털 가입처럼 복잡한 절차를 거쳐야 했던 마이피플 대신 전화번호만으로 간단히 가입할 수 있는 카카오톡을 선호했고, 결국 국내 SNS의 승자는 카카오톡이 차지하게 됐다.

 얘기가 잠시 딴 길로 샌 것 같은데, 다시 비번 얘기로 돌아가 보자. 외신에 나타난 인기 비번 기사에서 보듯 외국에서는 아직도 '12345'와 같은 한가로운 비번이 상당히 많이 쓰이고 있는 것 같다. 실제로 구글 지메일 서비스에 임의로 가입하면서 '012345679'와 같은 비번을 입력하니 아무런 제약이 없었다. 국내에서는 불가능한 이런 일이 어떻게 가능할까. 글로벌 기업 보안이 우리에 비해 허술하다는 얘기는 들어본 적이 없다. 그때 한 보안 담당자가 이렇게 말했다. "보안의 책임을 어디에 두느냐에 따른 정책 차이입니다. 그들은 서비스 주체에 책임이 있다고 보는 것이고, 우리는 사용자에게 책임을 미루는 것이죠. 만일 문제가 생겼을 때 '사용자가 허술한 암호를 사용해서 그렇다'고 둘러댈 수 있으니까."

[최용성 모바일부장]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]