[포럼] 패스워드 설정 `과유불급` 현상… 이용자 안전에 편리성 고려해야

진승헌 ETRI 정보보호연구본부장


패스워드를 엄청 복잡하게 하면 과연 안전할까? 대부분의 독자들은 질문에서 벌써 눈치 챘겠지만 안전할 수도 있고 그렇지 않을 수도 있다. 무엇을 기준으로 판단하느냐에 따라 다른 답이 나올 수 있다. 이론적으로 패스워드는 복잡할수록 안전할 수 있다.

하지만 실제 이용하는 사람의 입장을 고려하면 다른 답이 나올 수 있다. 보안전문기관의 자료에 따르면 복잡한 패스워드와 잦은 패스워드 변경 요구는 사용자를 해킹에 더욱 취약하게 할 수 있다고 보고한다. 인터넷을 이용하면서 패스워드를 영문자, 숫자, 특수문자를 포함해서 8자 이상 사용하라는 권고를 본 적이 있을 것이다.

일반적으로 사용자들은 이 권고를 따르지만 너무 복잡하면 자신도 나중에 기억하기 어려움으로, 예를 들면 기존의 단순한 패스워드인 'password'에 몇 가지 숫자와 특수문자를 추가해 'password123#' 정도로 수정을 하는 경우가 많다. 또한 주기적인 패스워드 변경 요청은 사용자들이 덜 안전한 패스워드를 설정할 가능성을 높인다고 한다. 사용자들이 귀찮아서 더 쉬운 패스워드를 선택할 가능성이 높아지기 때문이다.

그래서 복잡함과 함께 편리함도 중시해야 실질적으로 해킹에 대응할 수 있다고 한다. 여기서 편리함이란 이용자의 서비스 사용 경험(UX, User Experience)을 고려하는 것이 필수적이라는 의미다. 인터넷에서 개인정보 유출 사고가 발생하면 일반적으로 정보보호 관련 사이트에서는 "모든 인터넷 사이트는 다른 아이디와 패스워드를 사용하시고 주기적으로 변경해 주세요"라고 나름 계몽적인 정보를 제공한다. 이 문구를 보면서 사용자들은 패스워드 변경에 대한 필요성을 느끼지만 귀찮아서 다음으로 미루거나 무시하는 경우가 많다.

이러한 문제점을 다루기 위해 보안수준을 유지하면서도 사용자의 편의성을 높이는 'usable security(유용한 보안)'기술이 주목 받고 있다. 절대적인 안정성 뿐만 아니라 이용자의 편의성 측면도 강조하기 시작한 것이다. 얼마 전 정부에서는 공인인증서 제도를 폐지할 방침이라고 발표했다. 공인인증서 입장에서 보면 1999년부터 인터넷 상거래의 신뢰 기반 구축에 많은 공헌이 있음에도 불구하고 현재 오히려 상거래의 걸림돌로 지적돼 폐지될 상황이라 나름 억울할 수 있다. 이러한 상황이 왜 발생했을까? 필자는 여러 가지 이슈들이 있지만 사람에 대한 이해 부족이 큰 이유 중에 하나라고 생각한다.

공인인증서의 핵심 기술은 공개키 기반 구조 기술(PKI)이다. 이 기술은 현재 국내·외에서 인터넷뱅킹, 전자상거래 및 전자정부 등에 쓰이고 있는 국제표준기술이다. 또한, 기술 자체만으로 전자상거래를 할 때 신원을 확인하고, 문서의 위조와 변조, 거래 사실의 부인 방지 등도 가능한 안전한 기술이다. 하지만 핵심 기술 자체가 아무리 안전하더라도 그것을 이용하는 환경이 불편하거나 취약하다면 사용자에게 외면 받게 된다.

공인인증서를 이용하기 위해 별도의 프로그램을 설치해야 하거나 해킹에 취약한 컴퓨터 하드디스크에서 관리된다면 핵심 기술이 아무리 안전해도 사용자 입장에서는 불편하고 안전하지 않은 것이다. 이러한 문제를 해결하기 위해 최근엔 사용자 스마트폰에 인증서를 관리하고 지문이나 홍채 등의 바이오정보를 이용한 인증서비스가 출현하고 있다. 결국 사용자는 보안 때문에 불편하고 싶지 않다. 다만, 안전하게 서비스를 이용하고 있다는 안심이 필요한 셈이다. 때론 안전을 위해서라면 복잡할 수는 있다. 하지만 복잡하게 보이는 것만이 항상 안전한 것은 아니다.

논어의 선진편(先進篇)에서 공자는 '지나친 것은 미치지 못한 것과 같다(過猶不及)'고 말했다. 사람을 고려하지 않고 적용한 보안기술은 적용하지 않은 것이나 똑같다는 생각이 든다.