해킹하기 힘든 비밀번호 만들기(ft. 무료 무작위 비밀번호 생성 사이트)

 

비밀번호가 유출되는 경로는 다양합니다. 웹 사이트의 취약점을 이용하여 비밀번호가 탈취되는 경우, 피싱 등의 방법으로 사용자를 속여 비밀번호를 입력하도록 유도하는 경우, 키로깅 등의 해킹 프로그램을 설치하여 입력되는 비밀번호를 유출하는 경우, 마지막으로 무작위 대입 공격을 통해 비밀번호를 알아맞히는 경우가 있습니다.

오늘은 무작위 대입공격에 대응하는 방법을 알아보고자 합니다. 무작위 대입공격은 말 그대로 모든 경우의 수를 모두 입력해 보는 것입니다. 만약 비밀번호가 네자리라는 것을 알면 "0000"부터 "9999"를 입력해 본다면 비밀번호를 찾을 수 있습니다. 그래서 피쳐폰 시절에는 이렇게 비밀번호를 찾는 경우도 있었습니다. 시간만 있다면 가능한 방법입니다.

 

코레일 로그인 시 비밀번호 입력 제한

 

이러한 무작위 대입 공격을 막기위해 요즘에는 비밀번호 최대 입력 횟수를 제한하던가 잠금 시간을 설정합니다. 최대 오입력 횟수가 5회라면 해커 입장에서는 5회 만에 비밀번호를 맞추어야 하기 때문에 맞출 확률이 거의 없습니다. 때문에 해커가 유추하기 어려운 비밀번호를 만드는 것은 중요합니다. 어려운 비밀번호 만들기에 앞서 사람들은 어떤 비밀번호를 만드는지 살펴보겠습니다.

 

---

1. 흔히 사용하는 비밀번호 조합 분석

유출된 4자리 비밀번호 시각화

 

위 그림은 유출된 4자리 비밀번호를 시각화 해놓은 자료입니다. 밝은 색은 자주 사용되는 비밀번호이고 진한 색 또는 검은색은 빈도가 낮은 비밀번호 조합입니다. 그림을 분석하여 자주 사용되는 비밀번호 유형을 몇 가지만 살펴보겠습니다.

1. 반복되는 숫자: x=y와 같은 직선은 두자리수가 반복되는 것을 뜻합니다. 3030 또는 7575와 같은 비밀번호입니다. 밝은 색인 것으로 보아 자주 사용되는 것으로 보입니다.
2. 월일 조합: y축이 12정도 x축이 30 정도 되는 사각형의 범위가 밝게 표시된 것은 아마 "0131"이나 "1201"과 같은 월일 조합을 많이 사용한다고 추측할 수 있습니다. 
3. 의미 있는 정보 및 개인정보: y축이 19~20인 선은 "1958"이나 "2002"와 같은 본인의 탄생 연도, 또는 좋아하는 스포츠 팀의 팀의 우승 연도 등 의미 있는 년도를 나타낸다고 볼 수 있습니다.

이러한 의미있는 비밀번호는 해커가 유추하기 쉬울뿐더러 해커들도 먼저 시도해 봅니다. 이른바 무작위 대입 공격의 종류 중 하나인 사전 공격입니다. "love", "world"등의 사전에 있는 단어는 해커가 시도해 보기 때문에 "eeev"나 "ldrwo"와 같은 무작위 조합보다 더 취약합니다.

또한 위 그림에서 봤듯이 자주 사용되는 숫자와 합친 "love1999", "world3030"과 같은 비밀번호도 해커들이 자주 시도해보는 조합입니다.

비밀번호를 만들때는 이러한 조합은 피하시는 것이 좋습니다.

 

유출된 비밀번호 시각화-안쓰는 비밀번호 조합

 

반대로 7993과 같은 의미 없어 보이는 비밀번호는 거의 사용하지 않습니다. 만약 4자리 숫자로만 비밀번호를 만든다면 이러한 조합을 사용하는 것이 좋습니다.

 

---

2. 그럼 어떻게 비밀번호를 만들어야 할까?

무작위 비밀번호를 생성해주는 사이트

 

1. 긴 길이와 복잡한 조합: 비밀번호는 영문 대문자, 영문 소문자, 숫자, 특수문자를 각각 한 종류로 봤을 때 2종류는 10자리 이상 3종류는 8자리 이상을 추천한다고 합니다. 
2. 무작위성: "test", "sky"와 같이 의미를 가지는 단어는 사용하지 않는 것이 좋습니다.
3. 재사용 금지: 사이트마다 같은 비밀번호를 사용하는 경우 취약한 사이트에서 유출된 비밀번호로 다른 사이트까지 정보가 유출될 수 있으므로 다른 비밀번호를 사용하는 것이 좋습니다.
4. 알기 쉬운 개인정보: 생일, 전화번호, 우편번호 등 쉽게 유추 가능한 개인정보는 비밀번호에 포함시키지 않아야 합니다.
5. 주기적인 비밀번호 변경: 비밀번호가 유출되었더라도 비밀번호를 변경했다면 해커는 로그인 할 수 없습니다. 6개월에 한 번씩 비밀번호를 변경하는 것을 권장하고 있습니다.
6. 2차 인증 사용: 만약 사용중인 사이트나 앱에서 2차인증을 사용할 수 있는 경우 사용하신다면 단순히 비밀번호가 유출되거나 추측되더라도 로그인을 방지할 수 있습니다.

영문 대소문자, 숫자, 특수문자 등을 섞어 쓰는 것을 권장한 것은 2003년 미국 국립표준기술연구소에서 발간한 지침에서 비밀번호에 대한 규칙을 정하면서부터입니다. 해당 문서를 작성했던 엔지니어 빌 버는 최근 이러한 조합이 도움이 되지 않는다고 말했는데 그것은 특수문자를 넣어서 길게 비밀번호를 만드는 것 자체가 의미 없다는 것이 아닙니다. 무작위가 아닌 내용으로 비밀번호를 작성하는 경우 의미가 없다는 뜻입니다. 예를 들어 "love2002!"와 같이 만드는 경우는 조합이 많아지고 길이가 길어져도 쉽게 유추가 가능하므로 이러한 권고가 소용이 없지만 "A7d!x#9p"와 같은 비밀번호는 위와 같은 권고가 의미 있습니다. 비밀번호를 만들 때는 충분한 조합으로 무작위성으로 길게 만들어야 한다는 점을 기억해 주시기 바랍니다.

주변에서 해킹으로 인한 피해 사례를 많이 보다보니 귀찮아도 비밀번호 관리는 꼭 필요하다고 말씀드리고 싶습니다. 갑자기 비밀번호를 무작위로 만드려면 어려울 수 있습니다. 그렇다면 중요한 사이트 몇 개라도 이러한 방법으로 비밀번호를 만들고 관리하여 피해를 예방하시기 바랍니다.

Avast는 백신 회사인데 아래 홈페이지 링크에서 비밀번호를 무작위로 생성해주고 있습니다. 무작위 비밀번호를 만들기 어려우신 분은 참고하시면 좋을 것 같습니다.

https://www.avast.com/ko-kr/random-password-generator#pc

무작위 비밀번호 생성기 | 12345 사용은 이제 그만 | Avast