리듬·시간차 입력… 안 까먹고 안 뚫리는 비밀번호의 비밀

입력 2013-08-06 00:00

업데이트 2013-08-06 00:18

글씨 크기 조절
글자크기 설정

닫기

글자크기 설정 시 다른 기사의 본문도 동일하게 적용 됩니다.
- 가
- 가
- 가
- 가
- 가
프린트
공유하기
공유

닫기
- 페이스북
- 네이버블로그
- 엑스
- 카카오톡
- 밴드
https://www.seoul.co.kr/news/economy/IT/2013/08/06/20130806016006
URL 복사
댓글
14

간편하고 안전한 ‘비번’ 기술의 진화

# 직장인 김모(35)씨는 점심시간이 되자 헐레벌떡 은행으로 뛰어갔다. 송금을 해야 하는데 인터넷뱅킹이 막혔기 때문이다. 얼마 전 보안율을 높이려고 10자리까지 늘린 공인인증서 비밀번호가 도통 생각나지 않은 게 문제의 발단. 몇 차례 엇비슷한 숫자를 반복해 입력했더니, 결국 ‘직접 창구로 와달라’는 메시지가 떴다. 김씨의 바빴던 점심시간이 그만의 일상일까.

이미지 확대

닫기 이미지 확대 보기

현대인에게 비밀번호는 애물단지다. 보안율을 높이려 복잡하게 만들다 보면 본인이 만든 비밀번호를 기억하지 못하는 황망한 일이 생긴다. 그렇다고 보안을 포기하고 외우기 쉽도록 간단하게만 만들어 버릴 수도 없는 노릇이다. 복잡하지만 익숙해진 번호는 너무 오래 썼기에 불안하다.

우리가 쓰는 비밀번호는 어느 정도 안전한 수준일까. 안전성 여부를 테스트할 수 있는 미국의 인터넷사이트(www.howsecureismypassword.net)에서 확인할 수 있다. 해당 사이트에서 숫자 ‘1234’나 영문 ‘ABCD’를 치면 ‘즉시(Instantly)’라는 단어가 뜬다. 만약 누군가 비밀번호를 알아내려고 해킹 프로그램을 돌린다면 바로 뚫린다는 의미다. 집 전화번호(7자리 기준)를 넣어보니 0.025초, 휴대전화 번호(11자리 기준)는 25초 만에 뚫린다는 메시지가 뜬다. 8자리 생일이나 군번, 11자리 애인 휴대전화 번호 등의 비교적 긴 숫자로 비밀번호를 만들어 봐야 별 의미가 없다는 이야기다.

기존 숫자에 문자나 특수문자를 섞어 비밀번호 자수를 늘리니 해킹 예상시간은 다소 늘어났다. ‘영문자 한 자리+집전화 번호’는 11분, ‘영문자 두 자리+집 전화번호’는 7시간이 걸린다는 결과가 나왔다. 여전히 맘만 먹으면 얼마든지 뚫릴 수 있다는 이야기다. 하지만 A01012341234(문자 1개+휴대전화 번호)처럼 총 12자의 비밀번호를 설정하자 해킹 예상 시간은 37년이라는 답이 나왔다. 보안 전문가들은 해킹에 100년 정도 걸리는 번호를 택하라고 권한다. 그 눈높이에 맞추려면 최소 14자리 이상의 복잡한 비밀번호를 사용해야 한다는 이야기다.

복잡한 비밀번호를 대신하는 방법은 다양하다. 우리나라에만도 공인인증서, 보안카드, 휴대전화 인증 등 백화점식 인증체계가 존재한다. 하지만 역시 복잡하긴 마찬가지다. 최근엔 홍채나 지문처럼 생체인식 제품들도 나오지만, 비용이나 정보인권 등 문제도 걸려 실제 이용은 극히 한정돼 있다.

이 때문에 최근 보안업계에선 ‘외우기 쉽지만 해커가 뚫기 어려운 비밀번호’ 개발이 한창이다. 지난 2월 미국 IBM은 시간정보를 이용한 ‘리드믹 패스워드’(Rhythmic Password) 인증 시스템을 내놓았다. 접속자가 비밀번호 자판을 입력하는 시간을 판독해 전체의 리듬을 추출한 뒤, 인증 여부를 결정하는 방식이다. 예를 들어 우리에게 익숙한 응원구호 ‘대~한민국’의 박자에 맞춰 네 자리 비밀번호를 넣을 수 있다. 보안시스템은 단순히 비밀번호 네 자리 이외에도 4개 숫자에 입력되는 리듬을 읽어 개인을 식별한다.

국내 벤처기업인 다이나티브는 각각 비밀번호를 누르는 시간을 다르게 설정하는 ‘타임패스’ 방식으로 특허를 획득했다. 타임패스 방식은 비밀번호 중간에 아날로그적 시간 정보를 삽입하는 방식으로 리드믹 패스워드와 유사하면서도 다르다. 사용자는 비밀번호 ‘1234’를 누르는 과정에 여러 시간 차를 설정할 수 있다. 예를 들어 1과 2 사이에는 ‘0.2초 안에 아주 빠르게 누르기’라는 옵션을, 3과 4 사이에는 ‘5초 이후 아주 천천히 누르기’라는 옵션을 줄 수 있다. 사용자가 정확히 비밀번호를 누르려면 1과 2는 연달아, 마지막 4를 누를 때는 5초 이상 쉬었다가 자판을 눌러야 한다. 시간정보는 화면에 깜빡거리는 점을 통해 가늠할 수 있도록 했다. 개발사 측은 시간차를 두는 행위만으로 번호 4개로 12개 자리 비밀번호를 이용하는 효과를 낼 수 있다고 말한다. 즉시 뚫리던 네 자리 숫자가 뚫는 데 37년 이상 걸리는 고급 비밀번호로 바뀐다는 이야기다. 문규 다이나티브 대표는 “네 자리 번호를 모두 알려주는 방식으로 실험을 한 결과 시간 차를 모르면 아무런 소용이 없다는 결론에 이르렀다”면서 “시간정보인증을 하는 별도의 서버를 두는 방식을 택한다면 획기적인 안전성을 보장할 수 있다”라고 밝혔다.

유영규 기자 whoami@seoul.co.kr

2013-08-06 16면