안전한 패스워드의 첫 번째 조건은 문자구성 및 길이에서 찾아볼 수 있다. 3가지 종류 이상의 문자구성으로 8자리 이상으로 구성된 패스워드가 일반적으로 안전하다. 2가지 종류 이상으로 설정하려면 적어도 10자리 이상으로 구성해야 한다. 문자종류로는 알파벳의 대문자와 소문자, 특수문자, 숫자 4가지로 이 중 3가지 이상으로 구성하는 것이 안전하다. 예를 들어 ‘1Hz!+2Hz!-3Hz!’, ‘You!Can!Do!It!135’등과 같이 영문자, 숫자, 특수문자들을 혼합한 구성으로 된 패스워드가 안전하다.

두 번째 조건은 한글, 영어 등의 사전적 단어를 포함하지 않아야 한다. 사전적인 단어는 유추하기 쉽기 때문에 널리 알려진 단어를 포함하지 않거나 예측이 어렵도록 가공한 패스워드가 안전하다.

즉 컴퓨터 용어, 기업 등의 특정명칭을 가공하지 않고 사용하는 것은 안전하지 못하다. 특정 명칭을 선택해 사용할 경우에는 특정명칭의 홀수/짝수 번째의 문자를 구분해 사용하고 한글일 경우 영문으로, 영문일 경우 한글을 이용하는 방법이 좋다.

예를 들어 ‘이스트소프트알약2.0’일 경우 홀수 번째 글자인 ‘이트프알2.0’을 영문 대문자와 소문자, 숫자를 사용해 패스워드를 만드는 것이다. 즉 ‘dlXMvmDK2.0’처럼 설정하는 것이다.

세 번째 조건은 사용자 ID와 연관성이 있는 단어나 제3자가 쉽게 알 수 있는 개인정보를 포함하지 않는 패스워드로 구성해야 한다. 가족이름, 생일, 주소, 휴대전화번호 등을 포함하지 않도록 한다.

대신 노래제목이나 명언 속담, 가훈, 책제목 등을 가공해 패스워드를 설정할 수 있다. 예를 들어 ‘잠자는 숲속의 공주와 왕자님’일 경우 ‘1공주+1왕자’으로 구성하고 영문 대문자와 소문자로 다음과 같이 구성하는 것이다. ‘1rhdWN+ 1DHKDWK’처럼 활용이 가능하다.

패스워드는 만드는 것도 중요하지만 패스워드를 이용할 때 자신의 패스워드가 제3자에게 노출되지 않도록 해야 한다. 사용자는 자신의 패스워드와 관련된 정보 및 힌트를 제공하지 않도록 하고 관리자는 취약한 패스워드를 사용하는 사용자에게 패스워드 변경 요청을 보냄으로써 안전한 패스워드를 사용할 것을 권고해야 한다.

<글 : 김보라 이스트소프트 알약 보안 대응팀 대리(brkim0403@estsoft.com)>

[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>