들어가기 전에
미국 국립표준기술원(NIST)는 디지털 신원 가이드라인을 발표했습니다. 4권으로 구성된 방대한 내용을 다 읽는 일반인은 드물 것이며, 대부분은 매우 강력한 보안이 필요한 연방 기관을 대상으로 합니다. NIST에서는 소규모 사업체 소유자와 관리자를 위한 간결한 가이드라인 세트로 요약한 사이버보안 기본 사항 페이지도 만들었습니다. 이 모든 버전을 검토하여 작성한 ‘비밀번호에 관한 7가지 규칙 목록’을 소개합니다.
※ 이 글은 아래 기사 내용을 토대로 작성되었습니다만, 필자의 개인 의견이나 추가 자료들이 다수 포함되어 있습니다.
- 원문: 7 password rules to live by in 2024, according to security experts
- URL: https://www.zdnet.com/article/7-password-rules-to-live-by-in-2024-according-to-security-experts/
1. 비밀번호가 충분히 강력한지 확인
무엇이 강력한 비밀번호를 만들까요?
- 12자 이상으로 충분히 길어야 하며, 그 이상이면 좋습니다.
- 사전에서 찾을 수 없는 대문자와 소문자, 숫자, 기호가 혼합된 무작위이며, 내 이름이나 잠금 해제하는 서비스 이름이 포함되지 않아야 합니다.
- 추측하기가 쉽지 않아야 합니다.
전문가들은 이 모든 요소 중에서 길이가 가장 중요하다는 데 동의합니다. 실제로 NIST의 전문가들은 최근 유출된 비밀번호 데이터베이스를 분석한 결과 비밀번호를 복잡하게 만드는 것보다 긴 비밀번호를 사용하는 것이 훨씬 더 중요하다고 말합니다. 기호와 숫자로 구분된 세 개 이상의 관련 없는 단어로 구성된 암호문도 효과적일 수 있습니다.
2. 비밀번호 관리자 사용
보통 사람들은 수십 개의 비밀번호를 가지고 있습니다. 온라인 활동을 많이 하는 사람은 수백 개의 인증 정보를 가지고 있을 수도 있습니다. 길고 임의의 고유한 비밀번호를 모두 외울 수 있는 사람은 아무도 없습니다. 그렇기 때문에 추측하기 어려운 고유한 비밀번호를 만드는 작업을 덜어주고 안전한 암호화된 공간에 저장해주는 비밀번호 관리자가 필요합니다.
기술적으로는 펜과 종이로 된 노트도 이 작업의 일부를 수행할 수 있지만, 훨씬 더 많은 마찰이 있습니다. 하지만 소프트웨어 기반 비밀번호 관리자는 그보다 훨씬 더 많은 기능을 제공합니다. 즉, 완전히 무작위적인 비밀번호를 즉시 생성하고, 암호화된 데이터베이스에 자격 증명을 저장하며, 여러 장치에서 모든 것을 동기화할 수 있습니다.
하지만 가장 중요한 보호 계층은 바로 눈에 띄지 않는 계층입니다. 비밀번호 관리자는 저장된 자격증명 집합과 연결된 도메인을 알고 있으며, 인증되지 않은 도메인에는 비밀번호를 입력하지 않습니다. 따라서 숙련된 공격자가 은행이나 중개인이 보낸 것처럼 속이는 이메일을 작성하고 사용자가 가짜 도메인으로 연결되는 링크를 클릭하면 비밀번호 관리자가 자격 증명 입력을 거부합니다. 이는 강력한 피싱 방지 도구입니다.
3. 비밀번호 재사용 금지
여러 사이트에서 자주 사용하는 인증 정보(사용자 이름과 비밀번호)를 여러 사이트에서 재사용하는 것은 인간의 자연스러운 본능입니다. 이렇게 하면 기억하기 쉽지만 한 사이트에서 데이터가 유출되면 공격자가 해당 인증 정보 집합에 액세스하여 유출의 영향을 받지 않은 다른 사이트에서도 시도할 수 있습니다.
좋은 비밀번호 관리자는 재사용된 비밀번호에 플래그를 지정하고 강력하고 고유한 대체 비밀번호를 만들 것을 제안해야 합니다. 기존 비밀번호 끝에 느낌표나 숫자를 붙이는 것만으로는 새 비밀번호를 만든 것으로 인정되지 않습니다. 또한 자주 사용하는 비밀번호의 새로운 변형을 만드는 것도 새 비밀번호로 간주되지 않습니다.
4. 비밀번호 힌트 피하기
비밀번호 힌트의 전체 개념은 자신에게 의미 있는 단어나 이름, 날짜로 비밀번호를 구성하는 것입니다. 이러한 종류의 비밀번호는 추측하기 쉬우므로 비밀번호 힌트를 추가하면 계정에 침입하려는 사람이 더 쉽게 알아낼 수 있습니다.
가장 좋은 비밀번호 힌트는 네 단어입니다: "비밀번호 관리자를 확인하세요(Check your password manager)."
5. 기본 비밀번호 변경
공격자가 가정 또는 비즈니스 네트워크에 침입하는 가장 교묘한 방법 중 하나는 관리 인터페이스의 취약점을 이용해 해당 네트워크의 장치를 통과하는 것입니다. 예를 들어, 기본 비밀번호가 비밀번호인 Wi-Fi 라우터가 그 대상일 수 있습니다. 홈 보안 시스템의 일부로 설치하는 IP 기반 카메라와 초인종도 침입 가능성이 있는 장치입니다.
네트워크에 이러한 장치가 있다면 기본 비밀번호를 보다 강력한 자격 증명으로 바꾸세요.
6. 가능하면 다중 요소 인증 사용
비밀번호를 아무리 강력하게 만들고 유출되지 않도록 주의를 기울여도 문제가 발생할 수 있습니다. 가장 효과적인 보호 방법은 본인 소유의 디바이스에서 인증 앱을 사용하여 다른 사람이 두 번째 인증 수단을 제공하지 않는 한 새 디바이스에서 계정에 로그인할 수 없도록 하는 것입니다. SMS를 사용하여 휴대폰으로 전송되는 코드도 허용되는 옵션이지만, 의도적인 공격자가 탈취할 위험이 더 큽니다.
모든 것을 2단계 인증할 필요는 없지만 이메일, 은행, 브로커와 같은 고액 계정의 경우 두 번째 요소를 사용해야 합니다.
7. 꼭 필요한 경우가 아니면 비밀번호를 변경하지 말 것
전문가들은 비밀번호를 정기적으로 변경할 필요는 없으며, 사용자에게 이유 없이 비밀번호를 변경하도록 요구하는 조직은 오히려 네트워크 보안을 약화시킨다는 데 동의합니다.
왜 그럴까요? 비밀번호를 정기적으로 변경해야 하는 사람들은 약하고 추측하기 쉬운 비밀번호를 선택할 가능성이 높기 때문입니다. 강력하고 고유한 비밀번호를 잘 선택했다면 일반적인 상황에서는 비밀번호를 변경할 필요가 없습니다.
그렇다면 언제 비밀번호를 변경해야 할까요? 비밀번호가 용납할 수 없을 정도로 약하거나 다른 곳에서 사용하는 비밀번호와 중복되는 경우 당연히 비밀번호를 변경해야 합니다. 또한 데이터 유출로 인해 비밀번호가 유출되었다는 첫 번째 힌트를 받으면 비밀번호를 변경해야 합니다.
하지만 IT 부서나 온라인 서비스에서 비밀번호 변경을 강제로 요구한다면 시키는 대로 해야 합니다. 비밀번호 관리자가 그들의 요구를 충족하는 가장 길고 강력한 비밀번호를 만들도록 맡기세요.
'IT Info' 카테고리의 다른 글
| 최근 공유된 정보 목록 (24/09/15) (4) | 2024.09.15 |
|---|---|
| 오픈AI의 새로운 ChatGPT-o1 모델 사용하는 방법 (2) | 2024.09.15 |
| 즐거운 한가위 보내세요! (2) | 2024.09.14 |
| 최근 공유된 정보 목록 (24/09/12) (2) | 2024.09.12 |
| Windows에서 명령 키란 무엇인가요? Windows 10 / 11의 Mac 키 가이드 (0) | 2024.09.12 |
