인터넷이 생활 속에 자리 잡으면서 수 많은 웹사이트에 가입을 위한 아이디와 패스워드를 생성한다.

사이트에서 사용자 식별을 위한 가장 많이 사용하는 쉬운 방법이기도 하기 때문이다. 그런데 여러 웹사이트에 가입을 하다보니 대부분 같은 아이디와 패스워드를 사용하게 되고, 한 곳에서 아이디와 패스워드가 유출되면 다른 곳의 로그인도 쉽게 할 수 있게 된다. 이에 이번 호에서는 안전한 패스워드(비밀번호)를 어떻게 관리하면 되는지 정리 해 보고자 한다.

 

안일한 패스워드 관리, 누구든지 해킹 당할 수 있어

 

누구나 한 개 이상의 아이디와 패스워드 관리는 하게 된다. 처음 생성시 아이디는 어떻게 만들까?” “ 패스워드는 무얼하지? ” 로 한번쯤 고민한 적이 있을 것이다. 웹사이트 가입할 때 마다 다르게 생성하기도 어렵고 , 너무 길거나 복잡하게 하면 기억하기 어려워 자주 방문하지 않는 웹사이트 경우 늘 비밀번호 찾기 버튼을 눌러 재발급 경험이 있을 것이다. 이렇다보니 아이디와 비밀번호를 웹사이트 가입할 때마다 동일하게 사용하는 것이 현실이다. 주로 많이 사용하는 포털이나 인터넷뱅킹 대부분 동일한 아이디와 패스워드를 사용하는 경우가 많다. 패스워드가 한 곳에서 유출이 되면 다른 곳에도 안전하지 못하다.

 

악의적인 목적을 가진 공격자는 취약한 패스워드를 이용하여 아주 손쉽게 계정을 탈취한다. 이러한 계정 탈취는 또 다른 피해로 이어진다. 금융감독원 보도자료에 따르면 (13.12.5) 무역대금 금융사기가 계정 탈취로 인하여 증가하고 있다는 것이다. 다음은 피해사례를 정리한 것이다. 


※피해사례

경남에서 화훼를 수입판매하는 F사는 네덜란드 소재 거래처 (G)와 2년간 거래관계를 유지하던 최근 이메일을 통해 영국소재 은행에 신규로 개설한 계좌에 물품대금을 송금 하도록 요청을 받음.

 

F사 해외 영업담당직원은 G사와 재차 이메일을 통해 동 사실을 확인한 후 신규계좌로 송금해도 괜찮다는 답변을 받았으며 이후 두차례에 걸쳐 EUR 35,000를 송금함

 

약 1개월후 F사는 G사에서 수입대금을 입금 받지 못했다는 연락을 받아 사실관계를 확인한 결과이메일 해킹에 의한 무역대금 사기 피해를 인지 하게 되었다.

 


위 사례에서 보는바와 같이 해외에 거래처가 있기 때문에 유선보다는 이메일을 통하여 주고 받는 것이 편리 하기 때문에 유선확인 없이 이메일로만 확인된 것으로 파악이 된다. 누군가 에 의해 계정이 탈취되고 패스워드가 노출 되었다는 이야기이다. 메일을 통하여 거래처를 속인 것이다. 만약 여러분의 계정이 탈취되어 알고 있는 지인에게 본인임을 사칭하여 이메일을 주고 받는다면 또 다른 피해가 일어나는 것은 자명한 것이다. 생각만 해도 오싹하다.

 

패스워드 관리는 사용자가 스스로 관리해야.

 

최근 구글 이메일에 다음과 같은 안내 메일을 받았다. 내용인 즉 , 누군가 필자의 구글 계정에 로그인 시도를 했다는 안내 메시지이다. 보안에 관련된 글이나 인터뷰를 자주 하다보니 의도적으로 테스트 삼아 시도하는 공격자가 있다. 그래서 더 패스워드 관리에 신경을 쓸 수 밖에 없다.



혹시나 하는 마음에 메일 확인 즉시 바로 패스워드를 바로 변경하였다. 이렇게 안내 메일이라도 보내주면 다행이지만 대부분 포털이나 쇼핑몰은 그렇지 않다. 사용자가 직접 패스워드 관리를 해야 하는 것이다. 이러한 원리는 최근 금융권에서도 많이 활용하고 있다. 자신이 주로 이용하는 IP주소와 지정된 PC가 아니면 이상 징후로 탐지 하는 것이다. 이상 징후가 탐지되면 정상적인 금융거래를 할 수 없다. 정상적인 거래를 위해서는 본인임을 입증해야 한다. 구글도 구글 서비스에 접속하고 있는 IP주소를 파악하고 있다가 그 범위를 벗어나게 되면 경고 메일을 보내주고 있는 것이다.

 

당신의 패스워드 얼마나 안전한가?

 

여러분의 패스워드는 얼마나 안전한지 점검하는 사이트가 있다. 패스워드를 어떻게 구성할 것인지를 적으면 얼마나 안전한지를 보여준다. 쉽게 말하면 패스워드가 풀리는데 얼마나 시간이 걸리는지를 알려주는 사이트이다.


패스워드 점검 사이트(http://howsecureismypassword.net/)


간단하게 몇 가지만 테스트 해 본 결과를 정리해 보자. 다음은 패스워드 해킹하는데 걸리는 시간을 나타낸 것이다.

 

1) 12345678 : 0.02(숫자)

2) abcdefg : 2(알파벳)

3) 3456cdef : 11(숫자 + 알파벳)

4) 3456*cde : 3시간 (숫자 + 특수문자 + 알파벳) - 8자리

5) 3456!@#cde : 344(숫자 + 특수문자 + 알파벳) - 10자리

 

물론 위 사이트가 얼마나 신뢰성이 있는지는 잘 모른다. 하지만 패스워드 관리를 함에 있어 자신의 패스워드를 어떻게 구성을 하면 안전하게 할 수 있는지를 가늠해 볼 수는 있다.

 

단 한 가지 주의 할 점은 위 사이트 메인 박스란에도 적혀 있지만 자신이 실제 사용하는 패스워드를 적어서 탈취 당하는 일이 없도록 주의하라는 문구가 적혀 있다. 이것은 패스워드 안전성을 측정해 준다고 하지만 유사한 사이트들이 많이 있어 패스워드를 탈취 할 수도 있다는 위험성을 알리는 것이다. 그러니 과거 사용했던 패스워드나 어떤 형태로 구성하면 안전한가 정도에서 검토해야지 실제 사용하는 패스워드를 적지 말도록 해야 한다.

 

패스워드 생성시 유의점과 안전한 관리를 위한 팁

 

그동안 필자도 패스워드에 대한 연구를 많이 하였고, 실제 패스워드 유출로 피해를 입는 사례도 많이 보았다. 주로 알고 있는 내용이지만 초보자 관점에서 다시 한번 상기하는 의미에서 조명해 보고자 한다. 패스워드 관리에 무관심 했던 사용자는 꼭 기억했다가 실행에 옮기도록 해 보자.

 

패스워드 생성시 유의점을 살펴 보면 다음과 같다. 잘 살펴보고 패스워드 생성 시에 활용토록 하자.

 

1) 패스워드 길이는 8자리 이상으로 한다.

 

-> 패스워드 길이가 짧은 것은 아무래도 긴 패스워드보다 풀릴 확률이 높다. 따라서 보통 8자리 이상으로 권장하고 있으니 규정에 따르도록 하자. 최근에는 컴퓨터의 기술 발전과 능력 향상으로 10자리 이상을 요구하기도 한다. 8자리도 안전하지 못하다는 것이다.

 

2) 주민번호,전화번호,생일 등 개인정보를 포함하는 것은 피해야 한다.

 

-> 패스워드에 자신의 주민번호나 집 전화번호,휴대폰 번호, 생일 등을 이용하는 경우가 있는데 굉장히 위험한 방법이다. 개인정보가 포함되어 있어 유출시 또 다른 피해를 입을 수 있다. 혹시 지금 사용하고 있다면 당장 변경하길 권한다. 보안사고는 사전 예방이 최고이다.

 

3) 사전(辭典)에 있는 단어나 문장,문구는 사용하지 말아야 한다.

 

-> 자신이 평소 좋아하는 단어나 문장을 이용하는 경우가 있다. 패스워드 크랙 공격 중에 사전 공격(Dictionary Attack)이라는 기법이 있다. 이는 사전에 있는 단어나 문장을 무작위로 대입시켜 패스워드를 유출하는 기법이다. 이 공격으로부터 자유롭지 못하기 때문에 사전에 있는 단어나 문장은 피하는 것이 좋다.

 

4) 숫자, 알파벳, 특수문자를 반드시 넣어서 구성한다.

 

-> 패스워드 구성의 이상적인 조합이 숫자, 알파벳, 특수문자 등을 조합하여 만드는 것이다. 그만큼 패스워드를 푸는데 시간이 오래 걸리기 때문이다. 대부분 웹사이트에서 요즘은 이 방법을 요구하고 있다. 이제는 패스워드도 복잡성을 요구하고 있는 것이다.

 

5) 각 사이트마다 다른 패스워드를 사용한다.

 

-> 누구나 알고는 있지만 사실 여러 사이트에 모든 패스워드를 다르게 하여 관리한다는 것이 쉽지만 않다. 그렇다 보니 동일한 아이디와 패스워드를 사용하게 된다. 이제는 다르게 생성하여 관리해 보면 어떨까? 다음과 같은 방법이 자주 언급되고 있으니 예시를 보고 여러분도 한번 응용해 보면 어떨까 싶다. 


※예시

가입하는 사이트 명 자신이 사용하는 패스워드

위와 같은 원칙을 가지고 있다면 다음과 같이 다양하게 활용 가능하고 각 사이트마다 다른 패스워드를 관리 할 수 있다.


1) NAVER +자신의패스워드

2) WOORIBANK +자신의 패스워드

3) 네이버 +자신의 패스워드

4) 우리은행 +자신의 패스워드

 

6) 패스워드는 변경은 주기적으로 한다.


-> 안전한 패스워드를 2-3개를 만들어 놓고 주기적으로 변경하는 방법도 좋다. 보통 6개월에 한 번씩은 변경 하도록 하자. 물론 6개월보다 더 앞당겨 변경하여도 무방하다. 일정 시간이 지난 후에 로그인 시 웹사이트에서 패스워드 변경 알림을 알려주고 있는 경우가 많은데 <다음에 변경>으로 로그인 하지 말고 바로 패스워드 변경하여 실천하는 것이 자신의 계정을 안전하게 관리하는 방법이다.

 

7) 영문자판에 한글로 타이핑하여 패스워드를 생성한다

 

-> 패스워드 관리에 너무 신경을 많이 쓰게 되어 머리 아픈 사용자에게 좋은 방법이다. 패스워드 생성 시에 영문자판에서 한글로 패스워드를 생성하는 것이다. 한글문자 배열이 영문으로 되었을 경우 무작위 배열이 되기 때문에 해킹으로부터 조금 더 안전하다. 필자도 패스워드 관리 문의가 오면 이 방법을 추천한다. 평소 자신이 좋아하는 한글 문구나 좌우명 등 다양한 형태로 구성해도 좋다.

 

8) 최신 백신의 엔진등을 이용하여 키보드 타이핑으로 인한 유출을 막는다.

 

-> 해킹 기술의 발달로 패스워드 규칙만 가지고 대응하기에는 한계가 있다. 만약 자신의 PC가 악성코드에 감염이 되어 키로그(키보드 자판시 그대로 정보 유출되는 해킹기법)로 인하여 자신이 타이핑한 것이 그대로 공격자에게 전달이 된다면 아무런 소용이 없다. 따라서, 악성코드에 감염이 되지 않도록 최신 백신을 설치하고 엔진을 업데이트 하여 실시간 감시토록 하는 것이 중요하다.

 

더 많은 관리 방법들이 있겠지만 간략하게 살펴 보았다. 보통 패스워드 관리 안내를 보면 일상적인 내용이지만 잘 실천하지 않는 것이 현실이다. 그것은 너무 복잡하거나 어렵게 만들면 관리에 효율성이 떨어지고 일일이 사람이 기억해야 하는 것이 불편하기 때문이다. 그럼에도 날로 발전하는 컴퓨터와 해킹 기술에 대응하기 위해서는 더 복잡하고 안전한 패스워드를 요구하게 된다.

 

온라인에서 본인임을 식별할 수 있는 가장 쉬운 방법으로 아이디와 패스워드가 널리 사용되는 만큼 패스워드 관리에 신중을 기할 필요가 있다. 어쩌면 보안이라는 것이 너무 멀리 있고 어렵게만 있는 것이 아니라 자신이 할 수 있는 가장 가까운 곳에서 직접 실천하는 것이 스스로를 지킬 수 있는 최선의 보안이 아닌가 생각해 보았다. 여러분들도 가장 쉽고 안전하게 관리 할 수 있는 패스워드 관리 방법이 있다면 서로 공유하여 함께 사용해 보는 것도 좋겠다. 보안은 실천이다. 패스워드 관리 소홀에 대한 책임은 고스란히 사용자에게 있다.

 

지금 당장 자신의 패스워드 관리가 허술하다면 본문을 참고하여 강력한 패스워드로 변경하길 권해본다. 다음 3회에는 개인정보처리단계별 의무 조치사항과 처벌에 대하여 자세히 잘 펴 보도록 하겠다.


*  본 포스팅은 부산시에서 운영하는 블로그 '쿨부산'에 기고된 내용임을 밝힙니다.


신고
Posted by 엔시스


며칠전 한 대학에서 접근통제 방법에 대하여 설명하던 중에 아이디와 패스워드에 대한 이야기가 나왔습니다. 오늘은 가장 많이 사용하고 있는 아이디와 패스워드에 대하여 쉽고 간편하게 알아 볼 수 있는 방법을 살펴 보고자 합니다. 보안에 어려움을 느끼는 분들이나 초보보안 관심자, 혹은 자신의 비밀번호가 안전한지 살펴보고자 하시는 분들은 참고 하시면 좋겠습니다. -주인백



1. 식별, 인증, 인가, 책임추적성


접근제어 중에서 가장 많이 사용하는 것이 바로 '식별'입니다. 즉, 아이디와 패스워드를 이용한 식별을 하는 것이지요. 최근에는 OTP(일회용패스워드)를 금융권등에서 많이 사용하고 있지만 아직도 대다수 웹사이트들은 아이디와 패스워드를 이용한 식별을 많이 하는 것이 현실입니다. 



2. 취약한 패스워드로 계정 탈취


악의적인 목적을 가진 공격자는 취약한 패스워드를 이용하여 아주 손쉽게 계정을 탈취하게 됩니다. 이러한 계정 탈취는 또 다른 피해로 이어집니다. 최근 금융감독원 (2013.12.5) 보도자료에 따르면 무역대금 사기 피해사례가 증가하고 있다고 합니다. 


1) 피해사례

 

경남에서 화훼를 수입판매하는 F사는 네덜란드소재 거래처(G사)와 2년간 거래관계를 유지하던 중, 최근 이메일을 통해 영국소재 은행에 신규로 개설한 계좌로 물품대금을 송금하도록 요청받음

 

F사의 해외영업담당직원은 G사와 재차 이메일을 통해 동 사실을 확인한 후 신규계좌로 송금해도 괜찮다는 답변을 받았으며, 이후 두차례에 걸쳐 EUR 35,000를 송금

 

약 1개월 후 F사는 G사에서 수입대금을 받지 못했다는 연락을 받아 사실관계를 확인한 결과, 이메일 해킹에 의한 무역대금 사기피해 인지


이렇듯 메일을 통한 특정 기업을 타켓으로 하여 속이는 행위를 '스피어피싱' (Spear-phishing)[각주:1]이라고 합니다. 최신 보안관련하여 자주 언급되는 용어이기도 합니다. 이러한 사기 기저에는 모두 메일을 통한 사기가 대부분입니다. 즉, 누군가에 의해 계정 탈취가 되었고, 패스워드가 노출 되었다는 이야기가 되겠지요. 메일을 통하여 상대방인척 속이는 행위를 하였던 것입니다. 이제는 돈 거래에 대한 부분은 반드시 유선으로 확인 하는 절차를 가지는 것이 바람직합니다.



3. 패스워드 얼마나 안전한가? 그럼 당신의 패스워드는?


며칠전 KNN방송국에서 패스워드 관련하여 일반인도 쉽게 자신의 패스워드가 얼마나 취약한지를 확인해 보는 패스워드에 관련된 기획보도를 한바 있습니다. 그중에 나오는 패스워드 점검 사이트를 하나 알려 드리겠습니다. 자신의 패스워드는 얼마나 안전한지를 아래 링크 사이트에서  한번 점검해 보시길 바랍니다. 


간단하게 테스트 해 볼 수 있으니 꼭 실행해 보시길 바랍니다. 





패스워드 점검 사이트 :  http://howsecureismypassword.net/



4. 패스워드를 어떻게 하면 안전하게 만들 수 있을까? 


아래 KNN 길재섭 기자님이 아주 잘 설명해 주셔서 참고 하시길 바랍니다. ^^




5. 마무리


아무리 보안을 강화하고 여러 조치를 취한다 하더라도 사용자 보안에 대한 인식제고와 보안에 대한 마인드가 되어 있지 않으면 웹상에서 오픈되어 있는 가장 많이 사용하는 식별인 아이디와 패스워드 유출은 여전히 증가하게 됩니다., 이는 스피어피싱 등으로 사기를 당할 수 있으며 제2의 피해가 생기게 됩니다.  누구나 알수 있고 누구나 중요하다고 하지만 정작 자신은 1분이면 패스워드가 크랙되는 패스워드를 사용하고 있다면 그만큼 위험에 노출될 기회가 많아 질 것입니다.


패스워드 관리, 아무리 강조해도 지나치지 않습니다. 오히려 너무 강조해서 식상해 버린 것이 아닌가 하는 생각마저 들지만 이럴때일수록 가장 기초적인 보안을 실천하고 점검하는 자세가 더 강조되는 때이기도 합니다. @엔시스.




  1. 특정인의 정보를 캐내기 위한 피싱 공격을 지칭하는 용어로 작살낚시(spearfishing)를 빗댄 표현 [본문으로]
신고
Posted by 엔시스

보안중에서 가장 기본적인 것이 패스워드를 얼마나 강력하게 하느냐의 문제가 많이 있습니다. 가장 합법적인 해킹수단이 바로 아이디/패스워드를 알아내서 로그인 하는 것이겠죠.

또한 대부분의 사람들이 여러 사이트를 이용하기 때문에 동일한 패스워드를 사용하는 경우가 많습니다. 다음 동영상에서는 "소포스" 에서 제시하는 트위터 해킹 관련 동영상입니다.

결론은 " 패스워드" 관리를 잘 하자입니다. 동영상 한번 감상해 보시죠.. 핵심은 "동일한 패스워드" 를 사용하는 것이겠죠





아무튼  패스워드는 본인이 잘 관리하셔야 합니다. 가끔 패스워드 관리를 잘 못해서 낭패를 당하는 경우를 보았습니다. 없는 것 같지만 주위를 한번 돌아 보면 그런경우가 많았습니다.  필자가 생각하는 패스워드 관리는 다음과 같습니다. 일상적이고 일반적인 내용 같지만 실천하지 않는 사람들이 많습니다. 참고 해 보세요.

  • 8자이상 패스워드를 만들어 관리한다.
  • 영문자판에서 한글로 만든 패스워드가 좋다.
  • 특수문자와 숫자가 포함되면 더욱 강력한 패스워드를 만들수 있다.
  • 자기만의 문구 내지는 자신만이 알고 있는 한글로 하여도 좋다.
  • 패스워드는 주기적으로 몇개를 만들어 놓고 번갈아 가면서 변경하는 것이 좋다.
  • 여러개 사이트 패스워드를 동일하게 만들지 않는다.

 


신고
Posted by 엔시스


인하대학교에서  "KISA" 과제 수행한 논문인거 같네요.. 키보드 입력 패스워드 대체방안으로 연구한 내용입니다..

아직 저도 전부 읽어 보지는 못하였는데 시간날때 한번 읽어 보겠습니다..대충 그냥 훑어 보니까 패스워드 입력에 대한 내용인데 금융권 같은데에서는 OTP를 사용하고 있기에 조금 더 안전한 것 같고 일반 웹사이트에 적용하는 방법으로 제안이 되겠습니다.

한번 읽어 보세요..






신고
Posted by 엔시스

트위터를 운영하고 있는 회사가 '트위터'에 관련된 기밀 사항이 해킹 당해 배포 되었다는 소식이 이슈가 되고 있네요.

참고 포스팅.

http://blog.hankyung.com/kim215/284697


또한 해당 계획 설계도까지 보여 주고 있네요..



관련 포스팅

http://www.akiranews.com/2009/07/15/twitter-confidential-files-distributed-by-hacker-informationweek/]
http://www.vmalni.com/2009/07/hacker-pissed-techcrunch-moving-bold-twitter-is-shaking/


해킹은 마음만 먹으면 언제든지..

결국 해킹은 마음만 먹으면 언제든지 할수 있다는 결론이 나옵니다. 이러한 것은 마음먹고 해킹할려고 덤비는 데에는 여러가지 방법이 동원이 됨으로 평소 보안 마인드를 잘 가지고 있어야 겠습니다.
예를들면
  • 패스워드를 복잡하고 어렵게 만들고 주기적으로 변경한다든지
  • 메일 확인시에도 첨부파일에 실행 파일이 있는지 없는지 또는 이상한 메일은 아닌지
  • 남에게 함부로 패스워드를 알려 주는 행위
  • 또한 이번처럼 패스워드 잊어버렸을때 다른 패스워드 복구 하는데 하는 질문을 잘 고르는 것

특히 우린 웹 로그인시에 패스워드 분실하면 새로운 패스워드를 받기 위하여 일정한 질문에 대한 답을 해야 하는 경우가 있습니다. 그럴때 우린 흔히 정말 간단한 질문을 선택 하는 경우가 있습니다,.
예를들면

  • 당신의 아버지 이름은 무엇입니까?
  • 당신의 어머니 이름은 무엇입니까?
  • 당신의 출신 대학교는 어디입니까?
  • 당신의 출생지는 어디입니까? 

등등 조금만 노력 하면 바로 알수 있는 이러한 답변들은 쉽게 해킹 노출에 위협을 가하고 있습니다. 따라서 더 세밀하고 자세한 항목으로 해야 할 것입니다.

물론 이렇게 주어지는 질문에 다양성도 각 서비스 업체에선 고려해야 할 것입니다. 어짜피 처음 회원 가입시에 이에 대한 대답은 해야 하고 질문은 위에 처럼 단순한 질문 몇개만 나열해 놓는다고 한다면 회원입장에서는 하는 수 없이 답변을 하고 회원 가입을 해야 하는 경우가 있겠습니다.

서비스업체에서도 이러한 부분에 대한 보강을 해야 하겠습니다. 아무튼 트위터 이번 해킹 사건으로 인하여 사업 계획에 차질이 좀 생기겠는데요..

그것이 바로 당신이 운영하는 사업체와 사업장이 될수 있다는 사실을 반드시 기억 하기 바랍니다.
@엔시스.

신고
Posted by 엔시스

우리가 흔히 가장 오류를 범할수 있는 것 중에 하나가 아이디/패스워드를 쉽고 간편하게 사용을 하며 국내에는 여러 포털이 있다가 보니까 똑같은 아이디와 패스워드를 사용한다는 점입니다..

그러다 보니 하나의 아이디/패스워드로 여러곳에 위험 요소로 노출될 가능성이 많습니다..각기 다르게 일일이 만들면 좋겠지만 최소한 지금 보여주는 동영상과 같이 조금 어렵게 만들면 이와 같은 위험을 조금이나 줄일수 있습니다...

초보자분이든 보안에 관심을 가지고 있는 분이든 반드시 실천하는게 중요합니다..누구나 이렇게 해야 한다는 건 워낙 많이 홍보를 하고 가입시에 요구하기 때문에 하긴 하지만 그래도 여전히 안전하지 못한 부분이 있습니다...

많은 참고가 되시기 바랍니다...


신고
Posted by 엔시스


암호이용,패스워드 이용 가이드 라인입니다..
참고 하시어 유용하게 사용하시기 바랍니다....

출처는 KISA입니다..






신고
Posted by 엔시스