(20)패스워드 관리|김세헌<과기원 교수>

전산망에서의 접속통제를 위해 사용되는 여러 가지 형태의 방안증 상대적으로 이용 방법이 편리하고 비용이 적게드는 패스워드 체계는 여러 전산망에서 중요한 사용자 신분증명의 방법으로 사용되고 있다. 그러나 패스워드 체계는 보안 통제상 가장 취약하다는 단점이 있다.
패스워드는 마치 은행계좌의 비밀번호처럼 본인과 컴퓨터만이 알고 있는 약 여섯 글자의 알파벳이다. 사용자들은 보통 기억하기 좋은 단어를 패스워드로 선택하는 경향이 있다. 예를 들어 회사의 머리글자, 자신의 이름, 가족의 이름, 전화번호, 주소 등을 쓰는 경우가 많다. 그러나 이렇게 외기 쉬운 것은 제3자가 추측하기도 쉽다. 예컨대 사용자의 주민등록등본을 떼어 그 안에 있는 정보를 패스워드로 만들어 여러번 시도해보면 들어맞을 가능성이 꽤 있을 것이다. 이런 문제를 알고있는 회사의 경우 여섯글자를 무작위적으로 의미 없이 선택해 쓰도록 사용자에게 요구하게 되는데 이를 외기가 힘들다. 더욱이 정보 보안이 중요한 회사나 기관에서는 패스워드의 노출을 우려해 몇달에 한번씩 패스워드를 바꿀 것을 사용자에게 요구하기 때문에 패스워드를 외는 것이 더욱 힘들다. 이런 때 사용자들은 패스워드를 수첩·책상·칠판·노트 등에 적어놓기 쉬운데 이것 또한 옆 직원이나 가까운 사람들에게 노출되기 쉽다.
미국의 경우 표준국에서 패스워드 관리에 대한 지침을 제공하고 있다. ▲패스워드의 길이는 6∼8자를 쓸 것 ▲구성하는 문자는 키보드의 모든 문자를 다 쓸 수 있게 할 것 ▲1개월에 한번씩 변경할 것 ▲공유하지 않게 하고 개인별로 따로 줄 것 ▲무작위적으로 제작할 것 ▲컴퓨터내의 패스워드 기록은 암호화해 저장할 것 등이다.
이런 문제 때문에 최근 많은 조직에서 패스워드를 각종 기계적·전자적 카드 키와 함께 사용하고 음성·지문·손금·손의 형태 등으로 신분을 증명하는 방법들이 개발되고 있다. 이 방법들은 아직 에러 발생률이 높고 위생상의 문제들이 남아 있어 앞으로 스마트 카드의 활용이 기대된다.