패스워드 복잡하게 써도…"사용자 42% 계정 탈취 경험"

FIDO얼라이언스 "기억하기 어려울수록 계정유출 위험 커"

국내 인터넷서비스는 사용자들에게 온라인 계정에 알파벳 대소문자, 특수문자, 숫자 등 문자를 2~3종류 이상 섞은 패스워드를 쓰도록 요구한다. 주기적으로 패스워드를 변경하고, 다른 서비스의 계정과 똑같이 쓰지 말라고도 한다. 패스워드를 유추하기 어렵게 해 계정 탈취를 예방할 수 있다는 이유에서다.

하지만 이런 규칙을 잘 알고 따를 가능성이 높은 이들조차 적잖은 비중으로 계정을 탈취당한 경험을 했다는 조사 결과가 나왔다. FIDO얼라이언스는 최근 온라인으로 개최한 '서울 버추얼 세미나' 참가자 대상으로 진행한 설문조사 결과 응답자 42%가 계정 탈취를 경험한 것으로 파악됐다고 12일 밝혔다.

FIDO얼라이언스의 설문조사에 따르면 세미나에 참가한 170여명의 인터넷관련 전문가, 연구원, 대학생 등 응답자 81%는 자신이 쓰는 패스워드가 2~3종류 이상 문자·길이 8자 이상의 문자열을 쓰는 등 웹사이트에서 요구하는 기준을 충족해 누군가 패스워드를 추측해 도용하긴 어려울 것이라고 생각했다.
 

[사진=게티이미지뱅크]

응답자 59%가 30개 이상의 계정을 보유하고 있었다. 응답자 71%는 패스워드를 하나만 사용하지 않고 계정에 따라 2~5가지를 다르게 적용하고, 24%는 2~3개월에 한 번씩 패스워드를 변경하고 있었다. 그럼에도 응답자 42%가 자신의 온라인 계정이 탈취되는 경험을 갖고 있었다.

FIDO얼라이언스 측은 "응답자 37%는 자신의 패스워드를 종이나 컴퓨터 파일에 써넣어 관리하고 있다고 답했다"며 ""패스워드가 계정별로 수십개 이상 되면 기억하기가 불가능에 가까운 만큼, 계정유출 사고 위험성은 오히려 더 높아질 수밖에 없다"고 지적했다.

설문조사에 응한 한 인터넷 보안 전문가는 "해킹으로 탈취된 계정의 패스워드를 변경했지만 변경한 패스워드를 스스로도 기억하지 못하고 있다"며 "가입하는 웹사이트마다 다른 패스워드를 기억하지 못해 재설정에 시간을 낭비하곤 한다"고 말했다.

국내에 널리 채택된 복잡하고 까다로운 문자 조합 및 주기적인 변경 등 사용자에게 성가신 노력을 강제하는 패스워드 관리 규칙은 미국 국립표준기술연구소(NIST)의 관련 지침에서 따온 것이다. NIST는 이같은 규칙이 계정 탈취 피해를 막는 데 도움이 되지 않는다며 해당 규칙의 강제요건을 삭제했다.

NIST는 패스워드 관리 규칙의 강제요건을 삭제하면서 주기적인 패스워드 변경이 사용자의 기억 부담을 높여 오히려 추측하기 쉬운 '약한' 패스워드를 만들도록 유도하고, 그럼에도 수십개 이상의 계정별 패스워드를 기억하지 못할 경우 별도 기록으로 보관하는 등 문제를 야기한다고 판단했다.

FIDO얼라이언스는 패스워드에 의존하지 않고 온라인 서비스에서 간편한 사용자 인증을 지원하는 기술 '파이도(FIDO)'를 표준화하는 글로벌 비영리 민간단체다. 2012년 7월 출범해 현재까지 삼성전자, 애플, 구글, 마이크로소프트, 아마존, 페이팔, NTT도코모, 뱅크오브아메리카 등 250개 회원사를 두고 있다.