WSJ "규칙 만든 빌 버, 뒤늦게 후회" 보도

(지디넷코리아=임민철 기자)"자신만 알 수 있는 안전한 패스워드(password)를 만들어라. 알파벳 대소문자, 숫자, 특수문자를 섞어라. 주기적으로 바꿔라."

흔한 인터넷 서비스 권고다. 개인 계정에 범죄자가 유추하기 쉬운 패스워드를 쓰지 말고, 타 서비스의 정보유출 사고에 대비해 수시로 새로운 패스워드를 만들라는 취지다. 문제는 복잡한 문자 조합을 일정 글자수 이상으로 패스워드를 만들면 계정 사용자조차 기억하기 어렵다는 사실. 이는 주기적으로 이걸 바꾸라는 방침까지 따를 경우 더 심해진다.

과거엔 길이나 입력 문자 종류를 거의 제한하지 않고 패스워드를 만들 수 있었지만, 손쉽게 해킹당할 수 있다는 인식과 함께 지금과 같은 '규칙'을 내건 인터넷 서비스가 많아졌다. 이용자들도 패스워드를 만들고 때때로 바꾸는 일이 전보다 불편해졌지만, 거듭된 계정정보 유출과 해킹 사고를 우려해 이같은 제약을 받아들이는 분위기였다.


인터넷 서비스 사업자와 이용자 모두를 당황케 할 소식이 나왔다. 비밀번호를 안전하게 만들고 쓰기 위해 '복잡한 문자를 섞고 주기적으로 바꾸라'는 규칙을 고안해낸 미국 보안 전문가가, 보안 관점에서 좋지 않은 방식이었다고 고백했다고 한다. 월스트리트저널(WSJ)은 지난 7일자 보도를 통해 "패스워드 규칙을 만든 당사자가 후회하고 있다"고 보도했다. [☞원문 바로가기]

문제의 패스워드 규칙을 만든 인물은 지난 2003년 미국 국립표준기술연구소(NIST) 중급 매니저로 일하던 빌 버(Bill Burr) 씨다. 그는 인증보안기술 관련 가이드라인의 부속서 'NIST Special Publication 800-63 Appendix A'를 작성하면서 사람들이 계정을 보호하기 위해 알파벳 대소문자, 숫자, 특수문자를 혼합한 패스워드를 만들고 주기적으로 바꾸라는 내용을 담았다.

WSJ는 이 문서가 미국 연방정부기관, 대학교, 대기업의 패스워드 설정 규칙으로 확산됐지만 결국 보안 수준을 높이기 위한 조언이라는 목적에 맞지 않는 문제를 야기했다고 전했다. 많은 사람들이 이 규칙대로 복잡한 패스워드를 만들더라도 빈번한 변경 주기를 따르느라 문자열을 크게 바꾸지 않는데다 입력 자체를 불편하게 할 뿐이었다고 지적했다.

규칙을 만든 당사자인 버 씨는 이런 점에서 "내가 한 일을 많이 후회한다"고 말했다. 과거 자신이 만든 패스워드 규칙 때문에 결과적으로 많은 이들의 불편과 시간낭비를 유발했다고 인정하는 뉘앙스다. 그는 현재 만 72세로, 은퇴했다.

버 씨가 작성한 부속서를 포함한 해당 문건(Special Publication 800-63)은 지난 6월 전반적으로 개정됐다. 패스워드와 관련된 권고는 폐기됐다. 개정 작업을 맡은 NIST 표준 및 기술 고문 폴 그라시(Paul Grassi)는 특수문자 입력이나 만료기간같은 조건이 보안에 별로 도움이 안 됐다며 "실제로는 사용성에 부정적인 영향을 줬다"고 말했다.

그간 '보안에 이롭다'니까 성가셔도 순순히 복잡한 비밀번호를 만들고 바꾸는 불편을 감수해 온 많은 이용자들에겐 배신감이 느껴질 수도 있겠다. 하지만 이 규칙이 만들어진 건 14년전이다. 당시 기준으로 전문가가 맞다고 판단했던 게 지금 현실과 맞지 않는 것뿐일 수도 있다. 누구에게나 미래를 예측하긴 어려운 일이다.

WSJ 보도를 9일 인용한 온라인 IT미디어 기즈모도는 "기술은 종종 시행착오를 거쳐 활용된다 …(중략)… 인증 절차로 뜻하지 않게 인터넷 이용자들의 시간을 낭비하게 만들었다면, 빌처럼 몇년 뒤에라도 사과를 하라"면서 "적어도 누군가는 그를 용서할 것"이라고 평했다. [☞원문 바로가기]

임민철 기자(imc@zdnet.co.kr)