“자주 바꾸면 쉬운 배열 사용”

IT업체 “침입 가능성 커져”
닛케이 “기업·사용자 혼란”

‘인터넷 비밀번호는 주기적으로 바꿔 주세요.’

귀에 못이 박히도록 들어온 이 경고가 곧 사라질지도 모르겠다. 일본 니혼게이자이신문은 총무성이 이달부터 보안 정보 사이트에서 인터넷 접속 비밀번호를 주기적으로 바꿀 것을 권고하는 문구를 삭제했다고 27일 보도했다. 이유는 비밀번호를 자주 바꾸게 되면 사용자들이 추측하기 쉬운 문자·숫자·기호의 배열을 선택하게 되기 쉬워 외부 침입에 당할 가능성이 오히려 높아진다는 것이다. 결국 원래 쓰던 복잡한 비밀번호를 그대로 유지하는 게 좋다는 얘기다.

비밀번호의 주기적인 변경은 부정 접속 등 외부 침입을 막는 필수적인 수단으로 인식돼 왔으나 사이버 공격이 활발해지면서 미국 등에서는 2016년쯤부터 ‘주기적인 변경을 하지 않는 편이 낫다’는 의견이 강해졌다.

정보기술(IT) 업체인 소프트뱅크테크놀로지 관계자는 닛케이와의 인터뷰에서 “수시로 비밀번호 변경을 요구하면 적은 수의 문자나 숫자 등으로 외우기 쉬운 배열을 사용하거나 변경 전과 비슷한 어구를 사용하게 되는 경향이 생겨 다른 사람이 유추해내기가 쉬워진다”고 말했다. 이를테면 ‘seoul201803’과 같은 일정한 틀을 정해 놓고 4월이 되면 ‘seoul201804’, 5월이 되면 ‘seoul201805’로 끝자리 숫자만 간단히 바꾸는 문제가 발생한다는 것이다. 또 여러 기기나 서비스에서 비밀번호 변경을 요구하다 보니 죄다 같은 비밀번호를 설정하는 경향도 두드러지고 있다.

정부의 바뀐 방침에 기업이나 사용자들 사이에서는 혼란도 나타나고 있다고 닛케이는 전했다. 직원들에게 주기적으로 비밀번호를 바꿀 것을 요구해 온 도쿄 시내의 한 기계 정비업체 보안 담당자는 “주기적인 비밀번호 변경이 불필요한 줄 몰랐는데, 그렇다면 지금까지 정부가 했던 권고는 뭐란 말이냐”며 의문을 제기했다.



도쿄 김태균 특파원 windsea@seoul.co.kr