한국 웹서비스의 이상한 비밀번호 관리법

 

 

우리가 매번 '비밀번호 변경'에 시달리는 진짜 이유 (그리고 왜 그게 더 위험한지)

혹시 이 화면, 익숙하지 않으신가요?

"비밀번호를 변경한 지 90일이 지났습니다. 지금 바로 변경해주세요." "비밀번호는 영문 대/소문자, 숫자, 특수문자를 모두 조합하여 8자리 이상으로 만들어주세요."

온라인 쇼핑몰이든, 커뮤니티 사이트든, 우리는 로그인할 때마다 이런 메시지를 마주하곤 합니다. 주기적으로 비밀번호를 바꾸라는 요구와 복잡한 생성 규칙은 이제 너무나 익숙한 불편함이 되었습니다.

그런데 문득 이런 생각이 들지 않으신가요? 이렇게 번거로운 절차가 정말 우리의 안전을 위한 최선의 방법일까요? 결론부터 말하자면, 아닐 가능성이 높습니다. 그리고 그 이유는 생각보다 복잡합니다.

 

1. '보안 강화'가 아니라 '규제' 때문입니다

많은 사람들이 이 번거로운 절차가 강력한 보안을 위한 조치라고 생각하지만, 사실 그 시작은 낡은 '규제' 때문이었습니다. 과거 한국의 웹서비스들은 법적으로 "비밀번호의 유효 기간을 설정하고, 기간이 지나면 변경하게 하라"는 지침을 따라야 했습니다.

하지만 이 규제는 몇 년 전에 공식적으로 폐지되었습니다. 정부 스스로도 낡은 규정을 폐지하며 그 이유를 명확히 밝혔습니다.

"잦은 비밀번호 변경은 불편만 초래한다"

그렇다면 왜 우리는 아직도 낡은 관행에 시달리고 있는 걸까요? 문제는 'ISMS(정보보호 관리체계)'라는 인증 제도에 있습니다. 연간 매출 100억 원 이상의 기업은 의무적으로 이 인증을 받아야 합니다. 그런데 이 ISMS 인증을 받기 위한 가이드북에 여전히 과거의 낡은 비밀번호 규칙이 남아있습니다. 개발자 입장에서는 천만 원 가까운 심사비를 내고 인증을 받는 과정에서 심사위원과 마찰을 빚기 싫어, 어쩔 수 없이 가이드라인을 그대로 따르는 경우가 많습니다. 결국 사용자의 불편은 계속되는 셈입니다.

2. 잦은 변경 요구는 오히려 보안을 해칩니다

비밀번호를 자주 바꾸게 하는 것이 정말 보안에 도움이 될까요? 현실은 정반대입니다. 대부분의 사용자는 비밀번호 변경을 강요받으면 기존 비밀번호를 완전히 새롭게 바꾸지 않습니다.

예를 들어, 원래 비밀번호가 my_password123이었다면, my_password123!처럼 끝에 특수문자 하나를 추가하는 식입니다. 이런 식의 변경은 해커가 비밀번호를 추측하는 데 거의 아무런 장애물이 되지 못합니다. 보안 강화에 실질적인 의미가 없는 셈입니다.

상황을 더 악화시키는 것은 '기존에 썼던 비밀번호 재사용 금지' 정책입니다. 이런 사이트에서는 사용자들이 새 비밀번호를 기억하기 위해 메모장이나 포스트잇 같은 곳에 적어두는 경우가 생깁니다. 이는 디지털 해킹보다 훨씬 더 원시적이고 위험한 방식으로 비밀번호가 유출될 수 있는 새로운 경로를 만들어주는 꼴입니다.

 

 

3. 세계적 표준은 '길고 쉬운 암호'를 권장합니다

그렇다면 최신 보안 전문가들은 비밀번호에 대해 어떻게 생각할까요? 이 분야의 세계적인 권위 기관인 미국 국립표준기술연구소(NIST)의 가이드라인을 보면, 우리가 따르던 방식과는 정반대의 내용을 권고하고 있습니다.

NIST가 권장하는 현대적인 비밀번호 정책은 다음과 같습니다.

• 비밀번호 유출이 의심되는 경우를 제외하고는 주기적인 변경을 강요하지 않는다.
• 복잡한 특수문자 조합을 강요하는 대신, 기억하기 쉬운 긴 문장 형태의 비밀번호를 권장한다.
• 보안 강화를 위해 2단계 인증(2FA)을 적극적으로 사용한다.
• 비밀번호 입력 시 사용자가 원하면 볼 수 있도록 실제 문자로 표시하는 옵션을 제공한다.
• 비밀번호 관리 프로그램을 사용하는 이들을 위해 입력 칸에 복사/붙여넣기를 허용한다.

4. '자주 로그인'보다 '로그인 유지'가 더 안전할 수 있습니다

여기 또 하나의 역설적인 사실이 있습니다. 사용자의 안전을 위해 일정 시간이 지나면 자동으로 로그아웃시키고 다시 로그인하게 만드는 정책 역시 오히려 보안에 해가 될 수 있다는 것입니다. 비밀번호는 키보드로 입력되는 그 순간 해킹 공격에 노출될 위험이 가장 큽니다. 즉, 로그인을 자주 할수록 위험에 노출될 기회도 늘어나는 셈입니다.

요즘 서비스들은 '리프레시 토큰(Refresh Token)'이라는 안전한 기술을 사용합니다. 이는 마치 "서버가 만들어 주는 일회용 자동 비밀번호"와 같습니다. 사용자가 처음 로그인할 때 서버가 이 토큰을 발급해주고, 이후 로그인 유효 기간이 만료되면 사용자가 비밀번호를 다시 입력하는 대신 이 토큰을 자동으로 제출해 로그인을 연장하는 방식입니다. 훨씬 안전하고 편리합니다.

물론, "로그인이 계속 유지되는 스마트폰을 도난당하면 어떡하냐"고 걱정할 수도 있습니다. 하지만 요즘 대부분의 기기에는 강력한 화면 잠금 기능과 지문, 얼굴 인식 같은 생체 인증 기능이 기본적으로 탑재되어 있어 그럴 위험은 현저히 낮습니다.

이제는 바뀔 때도 되지 않았을까요?

우리가 겪는 비밀번호의 불편함은 사실 보안 강화라는 명목 아래, 이미 폐지된 낡은 규제와 현실을 따라가지 못하는 인증 제도의 관성 때문에 계속되고 있었습니다. 미국의 NIST와 같은 세계적인 표준 기관들이 '길고 쉬운 암호'와 '변경 최소화'를 권고하며 사용자의 편의를 높이는 방향으로 나아가는 것과는 정반대의 현실입니다.

최근 국내 은행권의 보안 규정이 세세한 지침을 나열하는 방식에서 "자율적으로 결정하고 결과만 책임져라"는 방향으로 바뀌고 있다는 소식은 작은 희망을 줍니다. 이제는 원칙과 책임을 강조하는 큰 흐름으로 변화하고 있다는 신호입니다.

과연 우리가 매일 사용하는 온라인 서비스들은 언제쯤 이런 낡은 관행에서 벗어나, 사용자를 위한 '진짜 보안'을 고민하게 될까요? 그 변화가 하루빨리 찾아오기를 기대해 봅니다.