시장동향 이야기
2016년 11월 '사용자 계정의 중요성, 보안으로 이해하기'라는 글을 통해 많은 사람들이 패스워드를 쉽게 기억할 수 있는 단순한 패턴으로 설정하고 있고 이로 인해 연결되어 있는 다른 계정 역시 보안 위협에 노출될 수 있다고 소개한 바 있다. 그리고 1년 6개월이 지난 지금 이러한 실태는 크게 달라지지 않은 듯하다. 오히려 단순한 비밀번호 패턴을 설정하는 실태를 지칭하는 개념(용어)까지 나온 것을 보면 더 심각한 수준이 아닌가 싶다.
https://brunch.co.kr/@sjfdhwlr/3
패스워드 관리 솔루션을 제공하는 Dashlane과 Virginia Tech가 유출된 6,100만 개의 패스워드를 분석한 결과에 따르면 2가지 패스워드 패턴이 있다고 한다. 첫 번째는 대중적인 단어나 문장을 비밀번호로 설정한다는 것이다. 대표적인 카테고리와 설정된 패스워드는 다음과 같다.
1. 챔피언스 리그 팀 : liverpool, chelsea, arsenal, barcelona 등
2. 대중 브랜드 : myspace, mustang, linkedin, ferrari, playboy, mercedes 등
3. 영화 & 음악 : superman, pokemon, starwars, rockstar 등
4. 감정 : iloveyou, f***you, a**hole, iloveme 등 (심의를 고려하여 * 처리)
두 번째는 키보드에서 서로 인접한 문자, 숫자, 기호 등을 조합을 포함하는 개념인 패스워드 워킹(Password Walking)이 높은 빈도로 설정된다는 것이다. (키보드의 인접한 자판만으로 패스워드를 설정하기 때문에 걷다 라는 의미의 Walk라고 정의했다고 생각하면 감탄이 절로 나온다.) 대표적인 패스워드 워킹은 우리에게도 익숙한 'qwerty'(키보드 좌측 상단의 연속된 문자열)와 '123456' 있지만 다음과 같이 새로운 조합 역시 연구를 통해 발견되었다.
- 1q2w3e4r, 1qaz2wsx, 1qazxsw2, zaq12wsx, !qaz2wsx
!qaz2wsx는 문자, 숫자, 특수문자가 모두 포함되어 있지만 패스워드 워킹에 포함되기 때문에 보안 수준이 높은 패스워드가 아니라고 할 수 있다. 다양한 조합이 안전함을 보장한다는 것은 100% 맞는 말이 아니라는 것을 보여주는 예시이기도 하다.
결국 패스워드 워커(Password Walker)가 의미하는 것은 유출되기 좋은 패스워드를 설정하는 보안 수준이 낮은 사람을 의미하는 것이 아닌가 싶다. (경고와 조롱이 모두 담긴 적절한 용어가 아닐까?)