웹사이트 비밀번호 관리

개인정보 유출 사태에서도 패스워드만큼은 지킬 수 있는 노하우.

잘 사용하지 않던 인터파크에서 이메일이 하나 날아왔다. 해킹에 의해 회원정보가 유출되었으니 유출 내용을 확인하고 패스워드를 교체하는 것이 좋겠다는 메일이다. 개인정보가 아니라 공공정보가 돼버린 주민등록번호처럼 어쩌면 내 이름과 생년월일, 휴대폰 번호 등은 검색하면 찾을 수 있는 정보라서 해킹되나 마나 신경 쓰지 않는다. 다만 패스워드라면 얘기가 다르다. 같은 이메일/휴대폰 번호로 회원 가입한 다른 사이트가 같은 패스워드라면 뚫릴 수도 있기 때문이다.

아무리 보안을 강화해도 쓰고 있는 패스워드가 전부 같다면 웹사이트 한 곳이 뚫리면 나머지도 같이 위험해진다. 보안이 의미가 없다. 가끔 SNS에서 스팸을 보내는 사람들을 보면 포털사이트와 오픈마켓 등에 쓰고 있는 같은 아이디/패스워드를 사용했던 것을 알 수 있다. 나 역시 어느 사이트 건 같은 아이디/이메일을 사용한다. 하지만 패스워드만큼은 모두 다르다. 

그렇다고 특별히 패스워드 관리 프로그램을 쓰거나 적어두지 않는다. 간단한 패스워드라면 외워둘 수 있겠지만 해킹이 많은 요즘 각 사이트에서 요구하는 패스워드는 무척 복잡하다. 영문자의 경우 대문자와 소문자를 구분하여 섞어 쓰고 좀 더 보안을 위해 숫자, 특수문자를 섞으라고 한다. 이러한 패스워드는 외우는 것도 한계가 있다. 그래서 한 가지 패스워드를 만들어 쓰는 사람은 다른 사이트에서도 같은 패스워드를 쓰는 경우가 많다. 하지만 이제 간단하게 모든 사이트의 패스워드를 각각 다르게 유지하는 방법을 배워보자.

1. 우선 특수기호와 숫자가 들어간 단어를 하나 만든다. 단, 이메일과 전화번호와 겹치는 단어나 숫자는 사용하지 말자. 이왕 어렵게 만들려고 하는 것이니 해커에게 편하게 정보를 주지 말자는 것이다. 요즘 웹사이트에서 요구하는 기본적인 사항을 지켜서 예를 들어 만들자면 Pa$5w0rd 처럼 대문자/소문자/숫자/특수기호가 조합된 형태다. 이런 조합만으로도 기본적인 보안에 적합한 패스워드가 된다. 

2. 패턴을 이용한 패스워드를 만들면 가입하려는 웹사이트마다 패스워드를 다르게 이용할 수 있다. 자주 쓰는 패턴은 도메인의 앞뒤를 패스워드의 앞뒤에 붙이는 것이다. 예를 들어 brunch.co.kr에 가입한다고 하면 도메인의 앞글자 b를 앞에, 마지막 글자 h를 뒤에 붙이면 bPa$5w0rdh라는 비밀번호가 생긴다. daum은 dPa$5w0rdm, naver는 nPa$5w0rdr가 될 것이다. 이제 가운데 반복되는 비밀번호 하나만 외우면 거의 모든 사이트에 각각의 패스워드를 쓸 수 있다. 여기서 '거의'를 붙인 이유는 앞뒤 글자가 똑같은 웹사이트는 같은 패스워드가 되기 때문이다.

이제 자기만의 패스워드 패턴을 만들어서 사용해보자. 1) 앞뒤 글자가 아니라 앞에서 두 번째 글자, 뒤에서 두 번째 글자를 이용할 수도 있고 2) 무조건 앞의 두 글자를 붙인다거나 3) 앞글자는 대문자로 마지막 글자는 소문자로 붙인다거나 하는 식으로 말이다. 

인터파크의 개인정보 유출은 무척 유감스럽다. 유출된 것을 알았으면서도 바로 알리지 않고 숨겼다는 것도, 그 기간에 약관을 변경한 것도(물론 다른 이유라고 하겠지만) 못마땅하다. 어떤 이는 법적으로 대응하겠다며 피해보상 카페에 가입하기도 한다. 변호사 선임비로 얼마 비용을 내면 추후에 개인정보 유출 대한 판결이 났을 때 보상받겠다는 것이다. 보상을 한다고 해도 이미 빠져나간 개인정보의 값어치를 보상했다고는 생각하지 않고 그래서 관심도 없다. 물질적인 보상이 아니라 제대로 된 사과를 받고 싶다.

개인 정보 유출 소식을 듣자마자 인터파크 회원 탈퇴부터 했다. 대기업에 할 수 있는 소비자의 가장 작지만 필요한 대응이라고 생각된다. 다시는 사용하지 않겠다. 불매/불이용이다.