패스워드 변경 주기 언제부터 없어졌어?
패스워드 변경 주기가 폐기 되었다는 정보를 이제서야 알게 되고 부리나케 쓰는 뒷북 글
내 말이 맞고 네 말은 틀려. 하는 사람들이 너무 많다.
그 예가 바로 짜장면이다. 아시다시피 짜장면의 표준어는 자장면이었다.
이는 표기법을 정하는 국립국어원에서 '자장면'과 '짜장면'을 혼용해서 사용하다가, 1986년에 외래어 표기법을 고시하면서 '자장면'을 표준어로 지정했기 때문이다. 하지만 수많은 논란 끝에 2011년 다시 짜장면은 복수 표준어로 지정된다. "짜장면?, 자장면?", 그 표기법 논란의 숨은 진실
하지만 이 글은 서사적인 스토리를 풀어내려고 쓰는 글이 아니다.
웹서비스의 비밀번호 변경 이슈에 대해서 얘기해보고 싶어서 쓰는 글이다.
우리는 3개월 혹은 6개월마다 비밀번호를 바꾸라고 강요당하곤 했다. '비밀번호 자주 바꾸라고 했다. 해킹당해도 우리 잘못 아니고 안 바꾼 네 잘못이다!'라는 협박처럼 들린다. 내 기억으로는 2008년 옥션과 2011년 네이트 대규모 개인정보 유출 사건 이후 생겨난 시스템으로 기억한다.
2003년, 미국 국립 표준 기술연구소에서 근무하던 암호 전문가 빌 버(Bill Burr)는 비밀번호 생성 규칙을 만들었다. 이 규칙에 따르면 비밀번호는 최소 8자 이상으로 구성돼야 하며, 영문 대소문자에 숫자와 특수문자까지 포함돼야 한다. 또, 보안을 위해 90일을 주기로 비밀번호를 변경할 것을 권장했다.
빌 버의 규칙은 미국의 각종 기관에서 비밀번호 가이드라인으로 자리 잡았다.
하지만 정작 이 규칙을 만든 빌 버는 비밀번호 규칙이 계정 보안에 큰 도움이 되지 않는다고 밝혔다. 이용자들의 성향을 고려해 규칙을 만들지 않았기 때문이다. 이용자들은 비밀번호 변경 시 완전히 새로운 비밀번호를 생성하는 것이 아니라 기존의 것을 조금 바꾸는 것에 그쳤다.
2016년 영국 사이버보안센터(NCSC)는 사용자로 하여금 정기적으로 비밀번호를 바꾸도록 강요하는 것은 오히려 보안 취약성을 증가시킨다고 지적했다. 비밀번호를 자주 바꾸게 하면 사용자가 기억할 수 없게 되어 비밀번호 변경 규칙을 만들거나 어딘가에 메모를 하게 만들기 때문에 결과적으로 더욱 보안에 취약해진다는 설명이다.
2017년 미국 인디애나폴리스에 있는 버틀러 대학(Butler University)의 IT 부서는 교수진과 학생들이 6개월마다 암호를 변경해야 한다는 정책을 없앨 예정이라고 발표했다.
미국의 국립 표준 기술 연구소가 발표한 새로운 보고서에 따르면, 주기적으로 비밀번호를 변경하도록 하는 정책이 정보의 안전을 강화한다는 근거가 없다.
14년 경력의 베테랑 정보 시스템 분석가이자 버틀러 대학의 IT 담당자인 자크 스키드모어도 "비밀번호를 주기적으로 변경하도록 사용자들에게 요구하는 것과 관련하여 항상 논란이 있었다."라고 말했다.
그리고 우리나라 KISA에서도 2017년 나온 미국 국립표준기술연구소(NIST) 디지털 아이덴티티 가이드라인을 바탕으로 국내 가이드라인을 개정했다.
세상사가 다 삽질하다가 결론 내는 거다. 누구 탓할 것도 없다.
그동안 머리를 쥐어뜯으며 비밀번호를 주기적으로 바꿔오던 지난날들이 주마등처럼 지나가지만 뭐 어쩌겠는가. 그때는 그게 맞지만 지금은 아니라는데. 겸허한 마음으로 받아들여야지.
시대 흐름이라는 것이 있다. 사회는 계속 변화한다. 변화가 없다는 그 사회는 죽은 것이다. 그렇기 때문에 옛것을 고수하며 고집부리는 것이 좋을 리가 없다. 또한 단체나 개인의 방침이 변화할 때도 무조건 덮어놓고 비판부터 하는 집단이 있다. 나는 비판받을 일이 아니라고 생각한다.
오히려 잘못된 것은 당당하게 인정하고 수정하고 고치는 게 더 나은 사회로 나아가는 방향성이라고 생각한다. 물론 단체의 정책이나 개인의 신념이 손바닥 뒤집듯 변한다면 신뢰성이 떨어지겠지만 말이다. 어제의 방식이 오늘도 먹힐 것이라고 생각하는 것은 대단한 오만이다. 유연한 사고, 열린 마음으로 이 시대를 살아갔으면 좋겠다.
아니 그리고 빨리 변경 주기 안내 없애달라구요. 알림 뜰때마다 귀찮아요.