"@넣었는데도 털렸다"…비번 설정, 뭐가 잘못됐던 걸까?

기사등록 2023/07/19 07:00:00 최종수정 2023/07/19 07:03:01

안랩, 정보보호의 달 맞아 '생활 속 보안 수칙' 공개

해커는 이미 '!, #' 등 단순 특수문자 패턴 알고 있다


【서울=뉴시스】송혜리 기자 = #. 직장인 A씨는 발리로 여름 휴가를 떠나기로 마음을 먹고, 현지 핫플레이스 정보를 얻기 위해 여행 커뮤니티에 가입했다. 그리고 며칠 뒤, A 씨는 자신의 계정이 해킹 당한 것을 알게 됐다.

커뮤니티에선 특수문자인 !,@,#,$,% 등을 포함한 비밀번호 설정을 요구했다. A씨는 주로 사용하는 비밀번호 끝에 !와 @를 붙였고, 사이트에서도 이를 '보안 강도 높음'으로 분류했다. 그런데 뭐가 문제였을까.

이처럼 웹사이트, 사회관계망서비스(SNS)를 이용하다 보면 심심찮게 계정을 해킹 당한 사례를 볼 수 있다. 이미 유출되거나 사전에 탈취한 사용자 계정(ID)과 비밀번호를 다른 사이트에 마구 대입하는 '크리덴셜 스터핑' 공격에 의해 발생하는 경우가 많은데, 이런 공격은 안전한 비밀번호를 만들어 사용하는 것 만으로도 예방이 가능하다. 

◆타인이 유추할 수 없는 개인정보로 비밀번호 구성해야

18일 안랩은 7월 정보보호의달을 맞아 일상에서 손쉽게 실천할 수 있는 보안 수칙으로 '안전한 비밀번호 만드는 팁'을 공유했다.

우선, 안랩은 비밀번호 뒤에 '!' 혹은 '#'과 같은 특수 문자를 붙였다고 안심하면 안된다고 당부했다. 해커들은 이미 이런 비밀번호 패턴을 파악해 찾기 때문이다.

오히려 타인이 유추할 수 없는 다른 사람의 이름이나, 특정 장소, 애완동물 이름 등 개인정보를 이용해 8자 이상의 문자열로 설정하는 것이 숫자와 특수문자를 섞어 만든 쉬운 비밀번호보다 낫다. 물론, 유추하기 어려운 단어와 숫자·특수문자를 함께 쓰면 보안 안전성은 더 높아진다.

보안성이 높은 비밀번호를 마련했더라도 이를 모든 사이트에 동일하게 사용하거나, 서너 개의 비밀번호를 서로 다른 사이트에서 돌려 쓰는 것 또한 위험하다. 공격자는 해킹에 성공한 비밀번호를 이용해 다른 사이트의 로그인을 시도할 가능성이 높기 때문이다.

사이트별로 비밀번호를 다르게 설정하는 것이 안전하나, 이를 기억하기는 쉽지 않다. 이에 안랩은 사이트 이름을 비밀번호에 넣는 방법을 소개했다. 예를 들어 안랩닷컴 홈페이지에서 회원가입을 할 경우, 비밀번호를 'ahn + (자주 쓰는 비밀번호) + lab'으로 설정하는 것이다.

쉼표(,)를 추가하는 것도 방법이다. 비밀번호 중간에 쉼표를 넣어도 최소한의 해킹은 피할 수 있기 때문이다. 안랩은 "해커들은 비밀번호를 해킹한 뒤 자동화 툴에 비밀번호를 정렬하는데, 비밀번호 사이에 쉼표를 넣으면 하나의 비밀번호로 인지하지 못한다"면서 "이로 인해 비밀번호가 유출되더라도 피해를 줄일 수 있다"고 설명했다. 

◆공공장소 무료 와이파이 사용 시 금융거래는 'NO'

안랩은 '스마트폰 사용자를 위한 기본 보안 수칙'도 공유했다.

우선, 공공장소에서 무료 와이파이를 사용할 때 제공자를 꼼꼼히 확인하고 가급적 해당 와이파이에 연결된 기기로 금융 거래를 하지 않아야 한다. 많은 사람들이 공공장소에서 무료 와이파이를 활발히 사용하는데, 이때 해커가 공유기를 해킹하거나 기관을 사칭한 무료 와이파이를 개설해 해당 와이파이에 접속한 모든 기기의 정보를 탈취할 수 있기 때문이다.
 
아울러 출처가 불분명한 여행, 기차표, 항공권, 택배, 안부 인사 등 정보성 문자 메시지, 메일 첨부 파일 열람 및 URL 실행을 자제해야 한다. 특히 여름 휴가철엔 기차표, 항공권, 숙박 예약, 여행지 정보 검색, 선물 교환 등으로 스마트폰 사용량이 대폭 증가한다. 해커는 이를 노리고 여행 정보와 기차표·항공권, 택배 등의 내용을 사칭한 문자 메시지, 이메일 등으로 악성코드를 유포할 수 있다.

안랩은 "스마트폰에는 금융 정보와 주소록, 사진 등 민감한 개인정보가 많기 때문에 더욱 주의해야 한다"고 당부했다.


◎공감언론 뉴시스 chewoo@newsis.com