![호수에 차 놓고 사라진 건설사 대표…전북 정·재계 뒤집혔다 [사건추적]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202404/23/df7d6025-7503-46ff-95c7-aa068e21a72b.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
애플 아이클라우드 해킹으로 유명인들의 개인적 사진이 유출되면서 안전한 암호에 대한 관심이 높아지고 있다.
애플은 유출 사건에 대해 2일(현지시간) "서버가 해킹을 당한 것이 아니다"는 내용의 중간조사 결과를 내놓았다. 애플은 "비밀번호 등 특정 표적공격에 의해 유출된 것"이라며 "모든 사용자들이 강력한 비밀번호를 설정해달라"고 덧붙였다. 하지만 보안 전문가들은 무작위로 비밀번호를 대입하는 기초적인 해킹에 보안이 뚫린 것은 애플의 책임이라고 지적했다. 보안 전문가인 애쉬칸 솔타니는 월스트리트저널과의 인터뷰에서 "애플은 해커들이 비밀번호를 맞추도록 상당한 기회를 제공한 것으로 보인다"고 말했다. 몇 차례 이상 잘못된 비밀번호를 입력하면 접근을 차단하는 등의 기초적인 대비책이 없었다는 얘기다.
해커들이 애플을 공격한 방식은 '브루트 포스 어택(brute force attack)'이라고 부른다. 무작위로 암호를 대입하는 단순한 방식이지만 이론적으로 언젠가는 해독할 수 있다. 하지만 이 같은 방법은 시간이 많이 걸리기 때문에 '암호 사전'을 사용하는 경우가 많다. 사람들이 자주 쓰는 암호를 먼저 대입하는 방식이다.
보안 전문가인 마크 버넷에 따르면 인터넷 사용자들이 가장 많이 사용하는 암호는 'password' '123456' '12345678' '1234' 'qwerty' 순이다. 자신의 이름이나 'baseball' 'football'같은 운동경기, 'letmein' 'abc123'도 흔한 암호다. 버넷은 "상위 세 개의 암호만 입력해봐도 10사람 중 한 사람은 뚫린다"고 말했다. 통계적으로 가장 자주 쓰는 암호 100개만 대입하면 40%, 1000개면 90% 해킹이 가능하다는 것이 그의 설명이다. 그는 "반대로 얘기하면 효과적인 암호만 만들어도 90% 이상의 해킹 시도를 차단할 수 있다는 의미"라고 말했다.
소셜미디어와 클라우드서비스의 대중화로 기억하기 쉬우면서도 뚫리지 않는 암호의 중요성은 갈수록 커지고 있다. 보안 전문가들은 문자와 숫자를 조합해서 외우기 쉬운 긴 암호를 만들어 사이트별로 조금씩 다르게 설정하는 것이 가장 안전하다고 조언한다. 실제로 '당신의 암호는 안녕하십니까(howsecureismypassword.net)' 사이트에서 4자리 숫자를 입력해 보면 일반적인 PC로 '즉시(instantly)' 해독이 가능하다고 나온다. 8자리 영문자를 푸는 데도 52초면 충분하다.
하지만 8자리 영문자(joongang)에 숫자를 섞거나(j00ngang) 대문자를 섞어주면(JoongAng) 해킹에 걸리는 시간은 각각 11분과 3시간으로 늘어난다. 여기에 특수기호까지 더해 긴 암호를 만들면 푸는데 너무 긴 시간이 걸리기 때문에 실질적으로 해킹을 차단할 수 있다. 예를 들어 1965년 창간한 중앙일보를 의미하는 'joongang1965'는 푸는데 37년이 걸린다. 여기에 특수문자 하나를 더해 'joongang@1965'로 설정하면 12만5000년이 걸려야 해독할 수 있게 된다. 여기에 방문하는 사이트에 따라 페이스북은 '/fb', 구글은 '/gg' 식으로 꼬리를 붙여주면 무차별 대입 방식의 해킹에는 안심해도 된다.
가톨릭대 서효중 교수(컴퓨터정보공학부)는 "특히 한국인들은 영어 자판으로 숫자와 특수기호가 들어간 한글 문장을 쓰면 상당히 안전하다"고 조언했다. '장미30송이!'를 의미하는 'wkdal30thddl!'를 암호로 삼는 식이다. 그는 "암호가 길어질수록 해독하는 것이 기하급수적으로 어려워지기 때문에 외우기 쉽도록 의미 있는 문장으로 암호를 만드는 것도 좋은 방법"이라고 말했다.
김창우 기자 kcwsssk@joongang.co.kr
