해킹에 대비한 인터넷 사이트 패스워드 관리법

해커들은 사용자의 정보를 빼내기 위해 끊임없이 두드린다. 해커들은 보안이 취약한 사이트들을 어떻게든 뚫고 들어가 가입자 DB를 탈취하려 노력하는 것이다. 하지만 해커들 손에 내 DB가 쥐어지지 않게 하는 방법은 없다. 그 방지책은 인터넷 사이트의 보안관리자가 해야 하는 일이지 그 인터넷 사이트의 사용자가 하는 일은 아니기 때문이다.

다행히도 암호화 기술이 있어 사이트 내에 서버에 저장된 사용자 정보는 탈취해도 해커가 알아보지 못한다. 그러나 불행히도 모든 인터넷 사이트가 사용자 DB를 암호화 하고 있는 것은 아니다. 이는 결국 해커가 가입자 DB를 손에 넣더라도 사이트에 따라서 내 민감한 정보가 해커에게 흘러들어갈 수도 그렇지 않을 수도 있다는 말이다.

그래서 우리는 우리가 이용하는 사이트들에 대한 성격을 파악하는 것이 중요하다. 

"해커에게 뚫릴 가능성이 있는지.."

"가입자들의 정보가 암호화 되어 있는지.."

를 말이다. 이는 결국 내가 이용하는 사이트내에 보안관리자가 있는지 없는지에 따라서 좌우될 수 있다. 

여기서 예측할 수 있겠지만 영세한 개인 사이트들은 보안관리자들 따로 둘 여력이 없다. 게다가 월급을 주고 고용할 보안관리자들을 구한다고 해도 그들에게 아무 장비도 없이 컴퓨터 하나 쥐어준다고 해서 일을 할 수 있는 것도 아니다. 그들도 이상행동을 탐지할 시스템이 필요하고 그것 역시 구축하는데 많은 자본이 들기 때문에, 어느정도 매출이 나오지 않는 사이트라면 인력과 장비를 수급할 수 없고 그에 따라 보안에 취약할 수밖에 없다.

그렇다면 사이트 운영자가 직접 할 수도 있지 않을까? 아쉽게도 IT분야는 워낙 전문적으로 나뉘어져 있다. 따라서 보안관리자가 인터넷 사이트를 운영할 수 없고, 사이트 운영자 역시 보안에 손을 대지 못한다. 더군다나 IT에 있어서 '보안'쪽은 알아야 하는 필요 지식량으로 따지면 최상단에 위치할 만큼 공부하기에 벅차다. 물론 사이트 운영자들도 보안에 완전 손을 놓는 것은 아니고 기본적인 조치는 할 수 있지만, 해커들이 기본적인 지식가지고 덤비지 않는 것이 문제다.

그럼 사이트 이용자가 할 수 있는 보안 조치는 뭐가 있을까?

"각 인터넷 사이트의 패스워드를 일원화(모두 같게) 해서는 안된다."

인터넷뱅킹을 포함한 사용하는 모든 사이트들의 패스워드를 다 똑같이 설정하는 것은 내 정보를 해커에게 갖다 바치는 것과 다르지 않다. 어떤 경우가 생기는가 하면 해커들 입장에서는 해킹 사고가 일어나도 신고조차 못하는 불법 도박사이트에서 얻은 사용자 정보로 국내 대형 사이트와 인터넷뱅킹까지 접속할 수 있는 것이다. 다행히도 인터넷뱅킹은 OTP와 같은 2차 방어가 있긴 하지만 말이다.

국내 대형 포탈인 네이버와 다음만 해커에게 아이디와 패스워드를 뚫려도 당사자는 물론 당사자의 지인들에게까지 치명타를 날릴 수도 있다. 사실상 외국의 구글만큼이나 국내 사용자들에게는 네이버와 다음에 상당한 개인정보들이 산재해 있기 때문이다.

그렇다면 어디에 어떤 패스워드를 어떻게 써야 할까? 내가 추천하는 방법은 몇 개의 그룹을 만들고 새로운 사이트 가입시 그 사이트가 어떤 그룹에 편입될 것인지에 따라 패스워드를 달리하는 것이다.

그 몇 개의 그룹의 선정 기준은 해킹의 위협에서 얼마나 자유로운가이다.

모든 인터넷 사이트는 해커의 위험에서 자유롭지 않다. 하지만 그나마 보안관리자가 다수 포진되어 있는 '인터넷뱅킹 사이트가 안전할까?' 개인이 이제 운영하기 시작한 '군소한 인터넷 사이트가 안전할까?' 를 생각해 본다면 답은 나온다. 사실상 영세한 사이트들의 경우 수시로 해커들이 들락달락 거린다고 보면 된다. 경찰에 해킹피해 사실을 신고조차 할 수 없는 불법 음란,도박 사이트들의 경우는 더 심하다. 만약 당신이 시간을 들여서 익힌 해킹기술을 시험해보고자 한다. 당신은 바로 인터넷뱅킹으로 테스트해보겠는가? 소라넷(지금은 없지만)으로 테스트해보겠는가?

그리고 개인정보가 탈취된 이후도 문제다. 물론 사용자들의 민감한 일부 정보는 암호화 하도록 규정되어 있긴 하지만 잘 되고 있는지 확인하지도 않는데 대형 사이트가 아닌 이상 그것을 지키는 관리자가 몇이나 될까? 결국 영세하거나 불법적인 사이트들에 내 개인정보들을 해커들에게 넘기면서 당신은 하루에도 수차례씩 보이스피싱과 불법대출 전화에 시달리는 것이다.

다시 정리해서 말하면 일부 군소 사이트에서 사용하는 패스워드는 이미 해커들 손에 넘어갔다 생각하고 더 중요한 사이트들에서는 그 패스워드로 접속하지 못하도록 패스워드를 달리하라는 말이다.

나의 경우 3그룹으로 나눈다.

1. 인터넷뱅킹

2. 대형 게임, 대형 포털사이트

3. 군소사이트, 합법적이지 않은 사이트

각 그룹당 패스워드를 공유한다. 각 사이트당 패스워드를 달리한다면 그게 제일 최선의 방법이 되겠지만 우리가 가입하고 사용하는 사이트의 갯수를 고려해볼 때 그건 미친짓에 가깝다. 그렇다면 '알패스'같은 패스워드 저장 프로그램을 이용하면 되지 않을까? 그럼 조금 더 편해지겠지만 정작 알패스가 해커들 손에 뚫려버리면 어쩔건가? 그 것이 내가 그런 프로그램을 사용하지 않는 이유다.

이렇게 그룹으로 나누어 버리면 사실상 3번에 해당하는 패스워드들은 끊임없이 해커들 손에 의해서 퍼져나갈 것이고, 해커들은 그 패스워드를 이용해 1번과 2번에 해당하는 사이트들에 대입해볼 것이다. 하지만 패스워드가 다르니 그렇게 얻은 정보는 활용가치가 적을 것이다. 물론 3번에 해당하는 사이트들끼리에도 이런 시도가 있을 것이고 같은 그룹이기에 접속에 성공할 것이다. 그래봐야 사실상 얻을 것은 없다. 나의 경우 3번에 해당하는 사이트다 싶으면 여러 정보들도 허위로 기재하는 경우가 많기 때문이다. 그리고 과다하게 개인정보를 원하는 사이트는 애초에 가입을 하지 않는다.

그나마 요즘은 자체적으로 회원가입을 하지 않아도 포털사이트의 아이디를 통해 가입할 수 있는 곳이 늘고 있어 참 다행이라는 생각이 든다. 군소한 사이트의 경우 이런 방식으로 회원가입을 하는 것도 좋은 방법이다.

사실 사용자가 이것저것 신경을 쓴다고 해도 완벽한 보안은 힘든 것이 사실이다. 하지만 '나쁜 방향으로 흘러갈 확률을 줄이는 것' 이라고 생각하고 조금만 신경 쓴다면 쾌적한 인터넷 이용을 할 수 있을 것이라 생각한다.