“지난 7월 안심클릭의 허점을 이용한 해킹 사기단 사건이 있었다.

범인들은 해킹 등으로 타인의 카드번호를 입수한 후, 인터넷에서 이뤄지는 신용카드 결제방식의 제도적ㆍ기술적 취약점을 이용해 물품을 대신 결재해주고 현금을 돌려받아 수억원을 인출했다.

범인들은 대부분의 카드 사용자들이 일반 홈페이지와 쇼핑몰ㆍ카드사의 접속 IDㆍ비밀번호가 동일한 것에 착안해 구글 등 검색엔진 사용이나 해킹으로 카드 거래내역 또는 인터넷 사용자들의 접속정보(IDㆍ비밀번호) 약 8만건을 수집했다.

이후, 쇼핑몰ㆍ카드사ㆍ결제대행회사(PG) 홈페이지에 차례로 접속해, 부분적으로 표시된 번호를 조합, 카드번호를 완성한 후에 신용카드결제체제의 취약점을 이용해 I사이트에서 타인의 아이템을 대신 구매해주고 현금화가 가능한 사이버머니를 충전받아 18,000만원을 인출한 후 국내 공범을 통해 중국으로 유출한 것으로 드러났다.”

이 사건은 경찰청 사이버테러대응센터와 사이버범죄수사대가 최근 국내에서 일어난 사이버 범죄 사례중 하나로 소개한 내용이다. 이 사건의 경위를 유심히 들여다보면, 신용카드 결제방식의 제도적ㆍ기술적 취약점도 문제이지만 그 기저에는 일반 카드 사용자들의 패스워드가 느슨하다는 점을 발견할 수 있다.

이는, ‘카드 사용자들이 일반 홈페이지와 쇼핑몰ㆍ카드사의 접속 IDㆍ비밀번호가 동일한 것에 착안’했다는 점에서 알 수 있다. 개인정보 보호 강화의 일환으로 주민등록번호 단순 도용자도 처벌하는 요즘, 내 정보를 스스로 지키기 위해 가장 쉽지만 기초적인 보안수단인 ‘패스워드’를 강력하게 만드는 비법에 대해 알아보았다.

이것만은 절대 금물, ‘나쁜 패스워드’

정보보호 관리자들이 일반인들의 개인정보 보호를 위해 입에 침이 마르도록 강조하는 나쁜 패스워드는 ‘남이 유추하기 쉬운 것’이다. 예를 들어, 사용자 이름ㆍ전화번호ㆍ생년월일ㆍ차량번호 등과 같이 개인생활과 관련된 패스워드는 절대 금물이다.

또한, 1234 같은 단순문자열이나 0000 같은 연속된 단순문자열, 숫자만으로 이뤄지거나 길이가 짧은 패스워드, loveㆍhappy와 같이 잘 알려진 단어로 구성된 패스워드는 안된다.

로그인 ID와 패스워드를 동일하게 설정하는 것도 좋지 않다. 특히, 사무실에서 작업을 많이 하는 사무직의 경우 책상주변에 포스트잇에 곱게 적힌 패스워드를 붙여놓는 경우가 있는데 이는 절대 금물이다. 아무리 복잡하고 어렵게 패스워드를 만들어도 모니터나 책상 주위에 패스워드를 적어 놓으면 패스워드는 없는 것과 마찬가지다.

인터넷이 일상화된 요즘, 가입한 사이트가 한두개가 아니다. 어떤 때는 어떤 사이트에 가입했는지 잊어버릴 때도 있다. 그러다보니 잊지 않기 위해 모든 사이트의 ID와 패스워드를 동일하게 설정할 때가 많다. 이것 역시 금물. 앞서 소개한 사건처럼 일반 홈페이지와 쇼핑몰ㆍ카드사의 접속 IDㆍ비밀번호가 같다보니 이를 악용한 사례들이 늘고 있다.

일정기간 이상 사용하는 것도 안된다. 어려운 패스워드도 신경써서 여러번 보면 어느 정도 유추가 가능하기 때문이다. 또한, 패스워드를 복잡하게 만들어도 패스워드 크래킹 시간이 길어질 뿐, 결국 알아낼 수 있기 때문에 월 1회 이상 변경하는 게 좋다.

Tip 1. 나쁜 패스워드

- 개인생활과 관련된 사항 포함 금지(이름, 전화번호, 생년월일, 차량번호 등)

- 단순문자열 반복이나 연속된 단순 문자열 금지(1234, 0000, aaaa 등)

- 사전의 단어 포함 금지(love, happy, 친구, 희망 등)

- 포스트잇에 적어 모니터 옆에 붙여둔 패스워드

- 모든 사이트의 동일한 IDㆍ동일한 패스워드

- 일정기간 이상 사용 금지

[동성혜 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>