'비밀번호 설정'에 해당되는 글 1

  1. 2008.08.31 Who is a real customer in the Security Service? (2)

보안 서비스에 대한 진정한 소비자는 누구일까?

시간이 지나면서 보안에 대한 마인드와 가치가 많이 변화했다. 항상 피부로 느끼면서 고민스러운 문제이다.

처음에는 웹 서비스는 단지 기업의 홍보를 위해 사용되었다. 이제는 웹 서비스가 잠시라도 중단이 된다면 기업의 신뢰성뿐만 아니라 수익에도 엄청난 영향을 미칠 정도로 그 중요성은 커졌다. 웹 서비스는 이미 비즈니스의 중심에 서 있다. 기술의 발전 역시 많은 것을 바꾸어 놓았다. 그 중에서 중요한 한 가지는 정보가 서버에서 각 개인의 PC로 이동되었다는 것이다. 이에 따라서 침해의 대상도 슈퍼 컴퓨터와 같은 중앙 집중적인 서버에서 개인의 PC로 이동되었으며, 그 이동은 시간이 흐를 수록 가속화 되고 있다. 이제는 정보 또는 서비스의 가장 끝단에 있는 고객들의 정보가 보안의 최대 관심사가 되고 있다.

이런 시점에서 보안에 대한 관점도 변화하고 있다. 과거에는 서비스 제공자에 국한되어 바라보던 시각이 최종 소비자에게로 쏠리고 있다. 이러한 변화 속에서 딜레마를 느끼게 된다. 보안 서비스에 대한 돈을 지불하는 것은 서비스 제공자이지만, 우리가 보호해야 하는 것은 서비스 이용자들의 정보이다.

보안 서비스를 제공하는 입장에서 누구의 입장 또는 보안을 고려해서 대응방안을 도출해야 할까?

한 예로 이러한 고민을 하게 된 계기를 얘기하고자 한다.

웹 서비스에 대한 비밀번호 설정과 관련해서 아래와 같은 권고를 흔히 볼 수 있다.

“웹 계정의 비밀번호는 영문자, 숫자로 구성되어 6~8자리 이상으로 설정하여야 한다.”

과연 이러한 보안 권고가 올바른 것일까? 시스템 계정의 비밀번호 구성과 달리 웹 계정의 비밀번호 구성은 특수문자의 사용을 자제하고 있다. 그 이유는 특수문자의 사용을 허용함으로 인해서 각종 보안 취약점이 발생할 가능성이 존재하기 때문이다. 우리가 흔히 듣는 SQL Injection, Command Injection, Directory Traversal 등의 보안 취약점이 개발자가 미처 생각하지 못한 특수 문자에 의해서 발생하는 것이 원인이다. 특수 문자의 사용을 금지함으로써 불확실한 위험으로부터 서비스를 보호할 수 있다. 사이트의 보안을 강화하기 위해서는 불확실함이 존재하는 특수문자를 사용하지 않아야 한다.

개인의 보안 관점에서 보면, 이러한 입장은 달라진다. 개인으로서는 영문자, 숫자 이외에 특수문자까지의 선택의 다양성이 주어졌을 때 보다 안전하게 보호 받을 수 있다. 영문자는 26개(대소문자를 구별한다면, 52개)이며, 숫자는 10개, 우리가 키보드를 통해서 입력 가능한 특수문자는 33개(스페이스 포함)이다. 영문자와 숫자로만 구성되어 있다면, 62가지의 선택이 한 자리 당 존재하며, 6자리의 비밀번호를 설정할 경우 56,800,235,584개의 조합이 가능하다. (8자리라면, 2.1834010558 x 10^14) 특수문자가 허용된다면, 62가지 선택에서 95가지의 선택으로 확장되며, 6자리일 때 735,091,890,625의 조합이 가능하다. (8자리일 때는 6.6342043129 x 10^15) 6자리의 경우 특수문자를 허용하는 것과 하지 않는 것으로 인해서 발생하는 조합의 차이는 13배가 나며, 8자리일 때는 30배의 차이를 나타낸다.

보안 서비스의 최종 소비자인 일반 사용자를 생각하면, 특수 문자를 포함하여 비밀번호를 설정하도록 하는 것이 올바르다. 대신 여기에는 입력값 검증을 철저히 할 수 있다는 보증이 따라야 한다. 만약 이러한 보증을 하지 못한다면, 최종 사용자의 정보는 사이트의 침해사고로 인해서 허무하게 무너질 수 있다.

현재 일부 대형 포탈들을 포함하여 개인의 비밀번호 설정에 대해서 특수문자를 배제하는 곳이 일부 있다. 이러한 움직임은 사용자의 정보를 잘 보호하기 위한 움직임이라고 할 수 있다. 아직은 웹 보안이라는 것이 새로운 기술들이 계속 나오는 급변하는 환경 속에 있다 보니 정형화 되기가 힘든 측면이 있다. 따라서 개인들은 제한된 환경 속에서 자신의 정보를 철저히 지키기 위해서는 최소한 8자리 이상의 비밀번호를 설정하기 바란다. 특수 문자가 배제된 환경에서 8자리의 비밀번호 조합은 6자리의 비밀번호 조합보다 3,844배나 높은 강도를 제공한다.

보안 서비스 제공자로서 1차 서비스 이용자와 2차 서비스 이용자 중 누가 우리의 진정한 고객인지는 시간이 지나면 지날 수록 고민스러운 문제가 될 것이다. 이 글에서 예로 든 비밀번호의 설정 외에도 대응방안이나 서비스를 제공할 때 2차 서비스 이용자의 보안까지도 고려해야 하는 대안들이 앞으로 꾸준히 등장하리라고 생각한다.

신고
이전 1 다음

티스토리 툴바