“내 생일이 패스워드라니!”
갑부의 상속녀를 경호하는 보디가드의 애환을 담은 영화 ‘CLOSE’에서 나오는 패스워드 입력창은 낯익다. 막대한 재산을 물려받은 외동딸은 부도덕한 경쟁사 그리고 친해질 수 없는 새엄마와의 경영권 분쟁으로 위험에 빠져든다. 요새와 같은 첨단 안전가옥에 몸을 숨긴 그녀는 스마트기기로 경비시스템를 제어한다. 그러한 보안망을 뚫은 청부업자의 침입으로 위기의 순간 방호시스템을 가동하지만 패스워드를 요구한다. 절체절명의 긴박한 상황이지만 패스워드는 다행히 쉽게 풀린다. 생년월일 6자리, 새엄마가 자신의 생일을 암호로 설정한 것에 놀라면서도 그동안의 의심도 사라진다. 사랑하는 자녀들의 생일은 종종 부모의 온갖 패스워드에 자주 이용된다.
최근 스마트폰 기반 금융서비스와 간편결제 확산에 따라 6자리 패스워드가 대세이다. 기존 아이디/패스워드, 신용카드, 전화번호, 일회용 비밀번호 등 복잡한 절차 없이 6자리 숫자만으로 거래가 이뤄진다. 더구나 인증방식도 주민등록번호 13자리 대신 생년월일 6자리 입력으로 대체되고 있다. 이메일로 수신되는 보험, 연금, 증권, 펀드 관련 월간 거래내역 열람에 필요한 생년월일 6자리 입력은 15년 이상 이어지고 있다. 정보보안 업체와 금융회사의 6자리 패스워드 관행은 여태 존속되고 있다.
IT인터넷 기업과 전자금융업체에서 제공하는 빠르고 쉬운 모바일 간편결제 방식은 새로운 인증체계와 프로세스를 선보이고 있다. 하지만 패스워드는 과거의 획일적 코드체계와 자릿수에서 벗어나지 못하는 실정이다.
인생 첫 패스워드는 은행 통장 비밀번호였다. 과거 직장 동료나 지인에게 통장을 맡겨 은행에 입금을 부탁하거나 도장과 비밀번호 4자리를 알려주면서 출금을 맡긴 적도 있다. 당시 뉴스에 훔친 통장과 도장으로 예금을 불법 인출한 사고가 번번했다. 대부분 비밀번호는 생년월일, 집 전화번호 4자리 또는 1234, 0000 등 기억하기 좋은 숫자였다. 영업점을 옮겨 가며서 몇 번의 비밀번호로 성공되면 오프라인 해커였다. 인감이 전산화 되기 전 창구에서 위조인감과 대리인 도장으로 인출이 이루어지기도 했다.
2000년 인터넷뱅킹이 개시된 이후 공인인증서와 보안카드가 의무화 되었다. 온라인 신원확인과 인증, 전자서명, 암호화, 키로깅, 방화벽 백신 등 보안기술은 점차 강화되었지만 20년 가까이 사용하는 보안카드 입력 코드는 4자리 그대로이다. 자물쇠처럼 단단해 보이던 보안카드는 개인의 자산을 온전하게 지켜줬을까. 당시 보안카드의 일련번호와 코드 알고리즘에 대한 취약점이나 해킹 가능성은 없지 않았다. 인터넷 금융출입증이었던 인증서와 보안카드는 결국 정보유출과 무단인출로 피해사례가 속출하였다. 하지만 보다 근본적인 문제는 보안기술이나 인증수단이 아니라 서비스 운영의 허점들이었다.
정보보호 십계명, 보안사고 예방 가이드라인, 개인정보보호 지침 등 그동안 수많은 보안강화 지침들이 홍보 되었지만 정작 패스워드 체계는 그대로 유지하고 있다. 금전을 노리는 해커와 범죄조직 입장에서는 2자리, 4자리, 6자리 짝수 기반의 패스워드 체계가 고정되었다는 건 불변의 찬스이다. 은행계좌와 신용카드 비밀번호 숫자 4자리는 언제까지 지속되어야 할까. 간편결제 6자리, 생년월일 6자리, OTP(One Time Password) 6자리도 계속 유지하고 있다. 짝수에 편향된 패스워드 입력 방식은 재검토 필요가 있다.
90년초 연구실에서 시스템 패스워드를 처음 이용하기 시작하였다. 워크스테이션, 메인프레임, 디스크, 데이터베이스 등 IT 자원을 접근하기 위한 패스워드와 웹, 이메일, 애플리케이션을 개발하기 위한 계정도 하나 둘 생겨난다. 늘어나는 패스워드는 늘 고민이었다. 처음에는 영문이름이나 닉네임, 별명, 생년월일과 전화번호를 혼용하다 보안성을 높이기 위해 기억도 못하는 태양계나 화학 기호를 사용한 적도 있다. 다양성과 신속성이 우선이었던 닷컴시대에 늘어만 가는 패스워드는 감당하기 어려웠다. 우리가 태어나서 기억해야할 숫자가 있다. 주민등록번호, 생일, 학번, 사번, 기념일, 번지수, 우편번호, 나이 정도는 암기력에 의존한다. 여기에다 부모, 배우자, 자녀의 숫자까지 결합되면 혜택은커녕 낭패 보기 쉽다.
미국 보안업체 '스플래시 데이터'(SplashData)는 매년 최악의 암호를 공개한다. 인터넷에서 유출된 5백만 개 이상의 비밀번호를 분석하여 가장 취약한 암호로 '123456'을 선정했다. 5년 연속 1위다. 두 번째로 허술한 암호는 5년 연속으로 'PASSWORD'가 선정됐다. 또 다른 최악의 리스트에는 ‘111111’이나 ‘abc123’처럼 단순한 숫자와 알파벳의 조합과 login, iloveyou, football, donald 처럼 쉽게 유추 가능한 단어들이 포함돼 있었다.
새롭게 등장한 특수문자의 조합인 ‘!@#$%^&*’은 시프트 키를 누르고 숫자 ‘12345678’을 순서대로 누르면 만들어지는 비밀번호이다. 이처럼 컴퓨터 자판을 이용한 패턴은 다반사이다. 셀럽이나 스포츠 스타, 대중문화 키워드 그리고 일정한 패턴의 키보드 자판은 피하라고 강조한다. 수많은 보안 사고에 대해 강력한 보안조치의 중요성을 인식하지만 기억하기 쉬운 패스워드 사용은 높아지고 있다. 기억하기 쉬우면 빼내기도 쉽다. 과거 은행통장에 비밀번호 적어 놓듯 메모지에 아이디, 패스워드를 적어 지갑에 넣거나 보안카드를 찍어 휴대폰에 저장한다. 우리 뇌 속에 수많은 패스워드와 보안코드, 결제비밀번호를 기억하기엔 벅차다. 제일 좋은 패스워드는 상대방이 알아내기 힘든 암호이지만 정작 본인도 괴로우면 사람 잡는 패스워드로 전락한다. 인터넷뱅킹 이용시 비밀번호 오류가 반복되거나 보안카드 앞뒤 2자리 수를 계속 입력하라는 메시지는 메모리해킹이거나 파밍일 가능성을 의심해야 한다.
2007년 설립된 OTP 통합인증센터는 공인인증서 유출과 보안카드의 취약점을 개선하기 위한 특단의 조치였다. 키스토로크 프로그램과 같은 해킹 툴을 심어 아이디와 비밀번호, 공인인증서 비밀번호을 탈취하여 새로운 계정을 만들거나 보안카드의 2자리 입력방식을 악용한 금융사고가 적지 않았다. 오랫동안 유지해온 현재의 보안카드 체계와 짝수 입력 패턴은 과감히 개선되어야 한다. 당시 OTP는 다수의 금융기관에서 이용 가능하고 서버와의 통신 없이 시간 동기화 알고리즘을 생성하여 보안성을 높이는 동시에 금융기관의 중복투자도 억제한 효과가 있었다.
이제 보안카드 어플도 등장한다. 거래은행, 보안카드 일련번호, 보안코드, 비밀번호까지 수작업으로 입력해버린다. 보안카드 이미지를 웹하드에 올리거나 보안카드 어플을 사용하는 건 대문을 잠그고 열쇠를 우편함에 보관하는 격이다. 모바일이 인터넷 환경보다 보안이 취약하다는 사실을 항상 유의하여야 한다. 패스워드 분실은 개인을 넘어 사회적 문제와 경제적 손실을 발생시킨다. 패스워드를 관리하고 운영하는데 소요되는 기업의 운영비용 또한 막대하다. 사용자들이 자신을 보호하고 정보를 지키기 위해서는 많은 노력이 필요하다. 머지않아 패스워드 없이 로그인하는 기술이 도래할 것이다. 더 이상 패스워드 입력을 요구하지 않을 것이다. 그럼에도 고착화된 보안카드 체계와 비밀번호 자릿수에 대한 고도화 작업은 필요하다.
예로부터 양의 수인 홀수는 살아있음을 의미하고 음의 수인 짝수는 죽음을 상징하기도 하였다. 꽃을 선물할 때는 불길한 짝수 보다 홀수로 가져간다. 짝수는 쌍을 이루어 안정을 추구하듯 우리의 금융보안 또한 여전히 보수적이고 수동적이다. 금융안정도 중요하지만 기술과 시대의 변화에 반응하는 금융르네상스도 이끌어야 한다. 금융보안의 오랜 관행인 짝수 패스워드의 싱크홀을 점검하여야 한다. 홀수의 꽃 선물이 금융보안에 활짝 피기 바란다. 디지털금융 시대를 훼손하는 안전사고를 방치할 이유가 없다.
※필자. 김정혁 △금융보안 칼럼니스트 △온더블록 대표 △서울사이버대학교 정보보호학과 겸임교수 △한국블록체인평가 기술평가위원장 △한국블록체인협회 자문위원 겸 자율규제위원 △한국정보보호산업협회 블록체인전문위원회 고문
★정보보안 대표 미디어 데일리시큐!★
