• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

암호를 둘러싼 이런 저런 사건들, 왜 계속 유지하는가? 2016.07.31

초콜릿 주면 암호 줘...조금 더 공들인 과자엔 사회보장번호까지
대형 기업의 암호 저장 페이지도 허술...트위터 유명인도 암호 달라 요구

[보안뉴스 문가용] 암호는 사실상 시한부 선고를 받았다고 생각한다. 하지만 사용자들은 왜 아직도 암호에 대한 미련을 못 거두는가? 정체를 알 수 없는 사람들에게 그렇게나 쉽게 암호를 말해 주면서도 말이다.

이미 암호는 모든 IT 서비스에 등장하는 요소가 되었다. 게다가 주기적으로 바꾸라, 어렵게 설정하라, 암호 관리 툴을 설치하라, 포스트잇에 암호 붙이지 마라 등 각종 잔소리를 유발하는 요인이기도 하다. 한해 한해 암호 기억력이 예전 같지도 않아 같은 걸 계속 사용하면 호된 질책이 날아오기도 한다. 사실은 사용자들도 이런 암호들을 무시해왔던 건 아닐까? 왜냐하면 다음과 같은 사실들이 기록으로 남아있기 때문이다.

밀크 초콜릿이거나 다크 초콜릿이거나
단 것에는 파리가 꼬이기 마련이다. 소셜 엔지니어들은 지난 20년 간 초콜릿과 암호를 교환하는 실험을 해왔다. 2004년, 실험에 참여한 사용자들 중 70%가 초콜릿바 하나에 컴퓨터 암호를 교환하는 데에 거리낌을 보이지 않았다. 이해할 수 없지만 34%는 아무런 대가 없이도 컴퓨터 암호를 내주었다. 올해 초 룩셈부르크대학의 연구원들이 비슷한 실험을 진행했는데, 암호를 초콜릿바보다 먼저 줘야 하는 경우, 30%가 이 거래에 응했다. 초콜릿바를 먼저 줄 경우 44%가 암호를 기꺼이 내주었다. 소비자들은 생각보다 너그럽다.

제과 = 크립토나이트
초콜릿바 함정의 연장선에 있는 내용이다. 초콜릿의 단맛은 미국인들에게 향수를 자극하기 때문에 ‘당분’과 ‘어렸을 때의 기억’을 함께 공략하는 것과 같다. 그런데 이렇게 설명하는 게 불가능한 일이 발생했다. 뉴욕의 한 제과점에서 초콜릿 칠리 플러 더 셀(Chocolate Chili Fleur de Sel) 쿠키를 가지고 실험을 했는데, 사용자들은 암호 뿐 아니라 사회보장번호, 지문, 자동차 면허증 정보, 엄마의 결혼 전 성씨, 사진까지도 기꺼이 공유한 것이다. 이것이 단 것의 힘인가? 솔직히 이 정도 정보를 얻어냈다면, 암호는 없어도 되는 정보다.

현금도 OK
한 보안 전문업체가 여섯 개국의 사용자들을 대상으로 실험을 한 결과가 올해 초 공개된 바 있다. 현금을 즉시 손에 쥐어줄 경우 암호를 건네주는 사람이 20%로 나왔다. 그렇다고 그게 대단히 많은 금액이었냐 하면 그렇지도 않았다. 44%는 1000 달러 이하에도 팔 의향이 있었고, 100 달러가 되지 않는 돈에도 기업 크리덴셜을 팔겠다고 한 사람도 있었다. 미국 사용자들이 현금에 가장 약한 것으로 나타났다(27%). 다음은 독일이었다(20%). 프랑스와 영국이 각각 16%로 그 다음을 이었고, 네덜란드와 오스트레일리아가 각각 12%를 기록했다.

칼보다 강하다
2003년 영국에서도 유사한 실험이 있었다. 그 실험에서 95%의 남성과 85%의 여성이 싸구려 펜 하나에 암호를 넘겨줄 의향이 있다고 밝혔다. 그 전해에도 똑같은 사람이 있었는데 전체 사용자의 65%가 똑같은 대답을 했었다. 노동자의 80%는 직장을 옮기면 기밀도 얼마든지 밝힐 수 있다고 답했고, 75%는 연봉 정보가 담긴 기밀을 어떻게 안 보고 넘어갈 수 있느냐고 되물었다. 또한 38%는 연봉 정보를 봤다면 입을 닫고 있기 힘들 것이라고 답했다.

카페인도 역시 유혹이 강하다
2005년에서의 실험에서도 비슷한 결과가 나왔다. 270명이 실험에 참가했는데 3 달러 스타벅스 기프트 카드에 회사 암호를 말해줄 수 있다는 사람이 66%였다. 거절한 사람들 중 70%도 ‘힌트 정도는 줄 수 있다’고 답했다. 한 사람은 너무 바빠서 설문에 응하기는 힘들다고 답하면서도 스타벅스 기프트카드는 가지고 싶었는지 조수에게 대신 설문을 작성하게 해 보냈다. 조수는 상사와 자신의 암호를 두 개 보내며 카드를 두 개 달라고 했다.

유명 사이트들도 허술하다
CNBC는 올해 초 웹 사이트 방문자들이 암호를 더 강력하게 고치도록 권면하기 시작했다. 그러면서 해당 암호를 당사는 저장하고 있지 않다는 알림문도 같이 발송했다. 하지만 CNBC는 SSL/TLS 암호화를 활용하지 않고 있었다. 그래서 암호가 만천하에 드러나는 사고가 발생했다. 게다가 약속과 다르게 CNBC는 암호를 구글 독스에 저장하고 있었다는 것도 트래픽 분석을 통해 드러났다.

트위터에서도 별 일이...
잭앤잭(Jack & Jack)의 잭 존슨(Jack Johnson)은 3백만 트위터 팔로워를 보유하고 있다. 한 번은 잭 존슨이 팬들에게 암호를 직접 보내달라고 요청했다. 이유는 자신의 영상을 트위터 피드에 포스팅하기 위함이었다. “암호를 저에게 DM하세요. 타인에게 암호를 주어서는 안 됩니다.”라는 트윗 메시지였는데, 지금은 지워진 상태다. 잭 존슨의 담당 변호사는 잭 존슨의 트위터 계정이 2중인증으로 단단히 보호되어 있으며 암호 또한 영상을 포스팅한 후 지웠으니 걱정할 것 없다고 주장했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>