비밀번호를 재설정할 때 마지막에 느낌표가 있었는지, 'O'를 0으로 바꿨는지 기억을 더듬으며 저주를 퍼부어본 적이 있다면 여러분은 혼자가 아닙니다. 수년 동안 전 세계 사용자들은 자신의 계정을 잠그기 위해 고안된 수수께끼처럼 보이는 비밀번호 규칙으로 인해 어려움을 겪어왔습니다. 다행히도 미국 국립표준기술연구소(NIST)가 이 문제를 해결하기 위해 나서고 있습니다.
비밀번호 관리 방식을 변화시킬 수 있는 움직임으로, NIST는 가장 성가시고 비생산적인 비밀번호 규칙을 없애는 새로운 가이드라인을 제안했습니다. 가장 큰 변화는 무엇일까요? 더 이상 강제적인 비밀번호 재설정, 특수 문자 포함과 같은 복잡한 요구 사항이 없으며, 솔직히 말해서 보안보다는 추측 게임에 가까운 보안 질문과 작별을 고할 수 있게 될 것입니다.
비밀번호 규칙: 혼란을 피하는 방법
최신 NIST 초안인 SP 800-63-4(이름도 재미있죠?)는 사이버 보안을 개선하는 동시에 디지털 생활을 좀 더 편리하게 만드는 것을 목표로 합니다. 수년 동안 많은 조직에서는 몇 달마다 비밀번호를 재설정하고 숫자, 대문자, 특수 문자를 캐서롤에 양념을 치듯 뿌려야 하는 규칙을 고수해 왔습니다. 그 이유는 간단했습니다. 복잡할수록 보안이 강화되기 때문입니다.
하지만... 그렇지 않습니다.
연구에 따르면 이러한 규칙은 실제로 다음과 같은 결과를 가져옵니다.약한 비밀번호. "S3cur!tyP@ssw0rd"를 기억하는 데 지친 사람들은 결국 더 간단하고 예측 가능한 패턴을 사용하게 됩니다. 몇 달에 한 번씩 비밀번호를 변경해야 한다면요? 기존 비밀번호 끝에 '1'을 치면 될 것입니다.
NIST가 도와드립니다: 더 이상 강제 재설정 필요 없음
새로운 가이드라인은 사용자에게 주기적으로 비밀번호를 변경하도록 강요하는 것은 불필요할 뿐만 아니라 보안을 약화시킬 수 있다고 공식적으로 선언하고 있습니다. 이 규정은 비밀번호가 대부분 'password123'이나 반려동물의 이름과 같은 것일 때 도입되었습니다. 하지만 지금은 많은 비밀번호가 무작위로 생성되거나 긴 문구로 구성되어 있기 때문에 비밀번호를 자주 변경할 필요가 없습니다.
그렇다면 NIST는 대신 무엇을 권장할까요? 유출되었다는 증거가 없는 한 현재 비밀번호를 그대로 사용하세요. 해커가 문을 두드리고 있다면 비밀번호를 변경해야 합니다. 그렇지 않다면 안심해도 됩니다.
특수 캐릭터 광기에 작별 인사하기
"대문자, 숫자, 특수 문자, 유니콘의 피를 포함해야 한다"는 끔찍한 규칙을 만족하는 비밀번호를 찾으려고 애썼던 기억이 있으신가요? 이제 그런 시절은 지났습니다. NIST는 또한 다양한 문자 유형을 혼합하여 사용하도록 강제하는 규칙을 폐기할 것을 제안하고 있습니다. 비밀번호가 충분히 길고 충분히 무작위적이라면 추가 문자는 보안 측면에서 큰 도움이 되지 않습니다.
실제로 특정 유형의 문자를 요구하면 더 예측 가능한 비밀번호를 만드는 경향이 있습니다. 더 이상 해커를 포함한 그 누구도 'S' 대신 '$'를 영리하게 사용하는 것에 감탄하지 않습니다.
비밀번호에 대한 상식적인 접근 방식
강제 초기화와 임의의 문자 규칙을 없애는 것 외에도 NIST는 다양한 사용자 친화적 관행을 제안하고 있습니다. 예를 들어, "어머니의 결혼 전 성은 무엇인가요?"와 같은 보안 질문을 사용하는 것은 매우 구식이라고 공식적으로 밝혔습니다. 이러한 정보는 대부분 온라인에서 찾을 수 있으며, 솔직히 10년 전의 답변을 기억하는 사람이 있을까요?
비밀번호를 강력하게 유지하되 사용자의 삶을 악몽으로 만들지 않는 것이 목표입니다. 비밀번호를 만들기 위해 복잡한 과정을 거치지 않아도 된다면 "Password1" 또는 "12345"와 같이 추측하기 쉬운 옵션에 의존할 가능성이 줄어듭니다.
그렇다면 다음에는 어떻게 될까요?
새로운 가이드라인은 아직 확정된 것은 아니지만, 곧 연방 정부와 협력하는 정부 기관 및 단체의 표준이 될 수 있습니다. 이러한 규칙이 보편적인 구속력을 갖는 것은 아니지만, 올바른 방향으로 나아가는 강력한 계기가 될 것입니다. 그리고 NIST의 승인으로 기업들은 그동안 우리를 힘들게 했던 비밀번호 관행 중 일부를 버려야 할 확실한 이유를 갖게 될지도 모릅니다.
새로운 가이드라인이 시행되면 비밀번호 관리가 더 이상 번거롭지 않은 미래를 맞이할 수 있을 것입니다. 심지어 비밀번호를 스티커 메모에 적지 않고도 기억할 수 있게 될지도 모릅니다. (기대해 보세요.)
그 동안 불필요하게 복잡한 비밀번호의 시대가 종식되기를 기원합니다. 사이버 보안의 혼돈에 약간의 상식을 가져다준 NIST에 감사드립니다.
Weiliang
Miyuki
JinseFinance
Clement
cryptopotato
Coindesk
Ftftx
Cointelegraph