나의 온라인 계정을 안전하게 지키는 방법
--
개인적인 정보로 가득한 이메일, 가까운 친구와의 카톡들, 나의 적금이 들어있는 은행 계좌까지-우리는 스스럼없이 온라인에 우리의 삶을 맡겨둔다. 덕분에 손가락 끝으로 여러 일들을 관리할 수 있게 됐지만, 더해진 편의성만큼 위험도 커진다. 지금 나의 계정들은 정말 안전한 걸까? 이 글을 통해 보이지 않는 온라인 세계에서 나를 보호하는 방법에 대해서 알아보자.
우리의 비밀번호는 어떻게 저장될까?
온라인에서 보안은 주로 비밀번호로 이루어진다. 많은 사용자들이 계정을 만들 때 비밀번호가 회사 서버에 어떻게 저장되는지 생각하지 않는다. 패스워드가 안전하게 저장되고 로그인을 하기 위해서는 다음과 같은 스텝들이 완벽하게 이뤄져야 한다.
- 사용자가 계정을 만들기 위해 아이디와 비밀번호를 입력한다.
- 입력한 값들이 서버로 보내진다.
- 서버는 받은 비밀번호를 그대로 저장하지 않는다. 비밀번호에 서버만의 “소금”을 더하고 그것의 Hash값을 계산한 뒤 그 결과만 데이터베이스에 저장한다 (Hash값에서 원래 비밀번호 값을 계산하는 것은 100만 달러가 걸려있는 밀레니엄 문제이다).
- 계정이 만들어진 후, 사용자가 로그인을 하기 위해 아이디와 비밀번호를 입력한다.
- 서버는 입력된 비밀번호의 Hash값을 계산한 뒤 저장된 값과 동일한지 체크한다.
여기서 중요한 것은 회사가 마음만 먹으면 내 비밀번호를 그대로 저장하고 데이터베이스 접속이 가능한 직원들이 볼 수 있게 놔둔다는 점이다. 우리는 로그인을 할 때마다 회사가 나의 비밀번호를 그대로 저장 안 할 것이라는 믿음을 갖고 로그인을 한다. ‘설마 그러겠어’라고 넘어가면 안 된다. 작년엔 페이스북과 인스타그램이, 올해는 구글의 G Suite 서비스가 부주의로 인해 그대로 비밀번호를 저장하고 있었다고 인정했다. 세상에서 가장 큰 테크 기업들이 이런 실수를 한다면 작은 회사들은 어떨까.
보통 사람들은 서너 개 패스워드를 머릿속에 암기해두고 고루고루 쓴다. 하나의 패스워드가 뚫리면 나의 25%가 노출될뿐더러 한번 암기한 비밀번호를 바꾸는 것은 정말 힘들다. 해커가 마음만 먹으면 우리의 삶을 순식간에 도난할 수 있는 위험한 상황이다. 최근 몇 년간 다양한 해결책, 생체Biometric 인증, 다요소Multi-factor 인증, 단일계정Single-sign-on(SSO) 인증이 등장했지만 여전히 사람들은 옛날의 방식을 고집하고 있다. 복잡한 개념들처럼 들리지만 사용하는 방법은 아주 간단하다.
안전하게 비밀번호를 관리하는 방법
큰 그림을 먼저 설명하자면 다음과 같다.
나의 모든 비밀번호를 비서가 기억하게 만들고 나만 비서와 소통할 수 있게 하자
여기서 “비서”는 인터넷 브라우저 (Chrome, Edge, Safari) 혹은 패스워드 매니저 프로그램 (OnePassword, LastPass)를 가리키고, “소통”하는 방식은 기기(개인 노트북, 스마트폰)이다. 개인 기기에 나만의 비서를 셋업 한 후 앞으로 모든 계정은 비서를 통해 랜덤한 비밀번호를 생성한다. 로그인을 할 때 비서가 기억하고 있는 값을 자동 입력한다. 사용자는 비서를 접근할 때 쓰이는 딱 한 가지 비밀번호(혹은 다른 인증방법)만 확실히 지키면 된다.
이 방법이 오늘날 가능한 이유는 기기 접근성의 변화이다. 옛날에는 컴퓨터가 흔치 않았고 스마트폰은 존재하지 않아서 개인 기기를 가지고 있는 사람이 거의 없었다. 집에서는 가족들과 컴퓨터를 같이 쓰고 학교를 가면 다른 학생들과 같이 썼다. 지금은 개인 노트북이 많아지고 어렸을 때부터 스마트폰과 함께 생활한다. 또 추가적으로 노트북과 스마트폰의 정보들이 온라인에서 Sync 되는 기기의 “클라우드”화도 도움이 되었다.
개인적으로 비서는 구글 크롬 브라우저를 추천한다. 현재 브라우저 사용도의 70% 담당하고 있는 압도적인 선두주자이다. 하지만 구글이 과도하게 개인정보를 사용한다는 것이 두렵다면 데이터 프라이버시를 강조하는 애플의 사파리나 마이크로소프트의 엣지를 사용해도 된다. 브라우저 자체를 사용하는 것이 꺼린다면 별도의 패스워드 매니저 프로그램을 써도 되지만, 로그인을 할 때 매번 패스워드를 따로 가져와야 하는 불편함이 있다. 나는 현재 구글 크롬으로 거의 모든 비밀번호를 관리하고, 자주 안 쓰지만 더 중요한 정보들은 금고에 저장하듯이 LastPass에 저장한다.
1. 비서를 셋업 하자
a) 노트북/스마트폰에 구글 크롬 최신 버전을 다운로드한다.
b) Gmail에 로그인을 해 나만의 계정을 만든다. 이때 이 계정의 비밀번호는 다른 데서 사용하지 않는 어려운 비밀번호를 쓴다 (나는 영문 소문자, 영문 대문자, 숫자, 특수기호가 들어하고 길이는 20자가 넘는 비밀번호를 쓴다. 이게 뚫리면 모든 것이 뚫린다는 심정으로 만들자).
c) 온라인 동기화를 켠다. 저장된 비밀번호를 다른 개인 기기에 연동할 수 있고, 노트북/스마트폰을 잃어버렸을 경우 비서가 저장한 비밀번호를 다시 회수할 수 있다.
2. 랜덤한 비밀번호 생성하자
a) 새로운 웹사이트의 계정 만들기 페이지로 간다.
b) “Google 계정으로 로그인”같은 단일 계정 인증(SSO)이 있다면 그것을 선택한다.
c) 단일 계정 인증이 없다면, 비밀번호를 입력하는 칸을 클릭한 뒤 “추천 비밀번호 사용” 버튼을 클릭한다. 랜덤한 비밀번호가 자동으로 입력될 것이다.
d) 계정을 만들면 자동으로 비밀번호가 저장됐다는 메시지가 뜬다. 메뉴에서 설정 > 비밀번호 페이지로 들어가 직접 체크할 수도 있다.
이미 계정이 있는 웹사이트들도 비밀번호를 이렇게 재설정하는 것이 안전하다.
3. 비서를 사용해서 로그인하자
개인 기기일 경우
a) 노트북/스마트폰으로 웹사이트에 들어가 비밀번호 칸은 선택한다.
b) 저장된 패스워드를 선택한다 (LastPass나 OnePassword를 썼을 경우 그 프로그램으로 따로 들어가 복사 붙여 넣기를 한다).
공유 기기일 경우
a) 공유 기기로 웹사이트를 접속한다.
b) 개인 노트북/스마트폰을 열어 구글 크롬을 연다.
c) “메뉴 > 설정 > 비밀번호”에서 해당 웹사이트를 찾아 비밀번호를 확인한다.
d) 공유 기기에 값을 입력한다. 만약에 공유 기기가 몰래 나의 비밀번호를 저장한다 하여도 그 웹사이트만 해킹이 당할 뿐, 다른 웹사이트가 해킹당할 위험이 없다.
만약에 개인 기기가 없는 상태에서 공유 기기에 꼭 로그인해야 되는 상황이 온다면 해당 웹사이트에서 “비밀번호 재설정”을 누른 다음 개인 이메일로 온 재설정 메일로 임시 비밀번호를 만들면 된다. 하지만 공유 기기에서 개인 이메일로 로그인하는 것 자체가 위험한 행동이다.
4. 다른 사람들이 비서를 못 접근하게 하자
a) 나의 구글 크롬 계정이 있는 노트북하고 스마트폰의 비밀번호를 남한테 절대 공유하지 않는다.
b) 스마트폰에는 Face ID 같은 생체 인증을 켜 두면 따로 비밀번호를 입력할 필요가 없어서 남한테 노출될 위험도 적다.
c) 기기를 클라우드에 등록하여 Find My Mac/iPhone 같은 서비스를 사용하면 기기를 잃어버렸을 경우 안에 (비서가 가지고 있던 비밀번호 포함한) 데이터를 지워버릴 수 있다.
오늘 설명한 방법이 서너 개의 비밀번호를 기억하는 예전의 방식보다 조금 불편한 것은 사실이다. 하지만 우리는 더 불편하게 각자 자신을 지켜야 한다. 형체가 보이지 않는다고 해서 안일해지면 안 된다. 또 보안의 분야는 취약점과 해결책이 계속 발견되면서 빠르게 진화하고 있다. 이 글의 방법을 실천하는 것을 시작으로, 온라인 세계의 존재하는 주체로써 보안 문제에 주의를 기울이고 책임감을 갖는 것이 중요하다.
