[2014.02.16] 비밀번호

안전을 생각하면 사이트마다 비밀번호를 다르게 해야 한다. 그래야 어떤 사이트에서 비밀번호가 누출되더라도 다른 사이트가 안전하다. 하지만 귀찮아서 그렇게 하는 사람은 거의 없다고 생각한다.

요즘 사용자에게 복잡한 비밀번호 생성을 요구하는 사이트가 많아졌다. 매우 위험하지만, 인터넷 초기에는 1234와 같은 간단한 비밀번호도 사용할 수 있었다. 보안이 중요하다는 인식이 퍼지면서 비밀번호를 생성하는 조건이 복잡해졌다. 영문자와 숫자, 혹은 특수문자를 반드시 포함해야 한다거나, 전화번호, 생일 등의 개인 정보를 포함하지 않아야 한다는 조건, 심지어 과거에 사용한 것과 일정 부분 이상 일치해서는 안 된다는 조건 등.

생성한 비밀번호를 사용자가 모두 기억하는 일은 어렵다. 그래서는 안 되지만, 어디엔가 적어두지 않으면 기억하기 어려울 정도로 많아지고 복잡해진다.

나름의 규칙을 만들어 사이트마다 비밀번호를 약간씩 변형하는 방법이 있기는 있다. 그러나 신기하게도 그 나름의 조건조차 적용할 수 없는 형태의 비밀번호를 요구하는 곳은 늘 존재한다. 예를 들면, 시대와 어울리지 않게 영문자와 숫자만으로 만든 8자 이내를 요구하는 사이트.

나는 비밀번호 기억의 어려움에 대한 '귀차니즘'을 넘어, 비밀번호 보안 문제를 사용자에게 떠넘기려고 하는 점 자체가 불만스럽다. 특히, 그러고도 개인 정보 유출 사고에서 정보를 암호화를 하지 않았다는 소식을 접하면 괘씸하기 짝이 없다는 생각이 든다. 

보안 공격에 대한 침입 감지 시스템(Intrusion Detection System)을 잘 갖추고 고객 정보를 스스로 보호해야 한다는 의식을 갖기는커녕 사용자에게 불필요한 노력만 더 요구하는 격이다. 웹사이트에서 https 프로토콜에만 의존하고 데이터마이닝 등을 통해 이상한 거래가 발생하는지를 감지하는 외국 은행이나 카드사보다, 과연 수많은 ActiveX로 도배한 우리나라 사이트가 얼마나 안전한지도 의문이다.