공공기관 홈페이지 217개 중 회원가입이 가능한 127개 사이트의 패스워드 안정성 분석결과가 발표됐다. 분석결과 127개 사이트 중 111개 사이트가 패스워드 선택 및 이용 가이드의 안전성 기준을 만족하지 못하는 것으로 밝혀졌다. 즉 111개 공공사이트는 간단한 해킹으로도 패스워드 유출과 해독이 가능한 상황이었고 한자리수 패스워드도 적용되는 사이트가 있어 일체 점검이 필요한 상태다.     
 
11월 30일 안전한 암호제품의 개발과 활용을 위한 ‘암호의 역할’ 워크숍이 르네상스 호텔에서 열렸다. 이 자리에서 이광우 성균관대 정보통신기술연구소 박사는 ‘패스워드 및 암호 이용실태 및 개선방안’을 주제로 발표를 했다.
 
패스워드는 사용자가 인터넷 사이트에 로그인할 때, 허가된 사용자임을 확인하는데 이용되는 문자열이다. 방통위와 KISA가 2010년에 발표한 ‘패스워드 선택 및 이용안내서’에서 제시하는 안전한 패스워드는 제3자가 쉽게 추측할 수 없는 패스워드다. 또 시스템에 저장되어 있는 사용자 정보 또는 인터넷을 통해 전송되는 정보를 해킹해도 사용자의 패스워드를 알아낼 수 없거나 알아낸다 해도 많은 시간이 요구되는 패스워드다. 이번 실태 조사도 이 기준을 적용해 실시됐다.
 
이광우 박사는 “안전한 패스워드를 만들기 위해서는 세가지 종류 이상의 문자구성으로 8자리 이상의 길이로 구성된 문자열 혹은 두가지 종류 이상의 문자구성으로 10자리 이상의 길이로 구성된 문자열이 적용돼야 안전하다”고 조언하며 “3자가 추측불가능해야 하고 패스워드 전송시 패킷을 잡아보면 패스워드를 그대로 알 수 있다. 전송구간 암호화가 꼭 필요하다. 또 패스워드 저장은 일방향 암호화를 적용해야 한다”고 강조했다.
 
◇127개 사이트중 111개 사이트 패스워드 위험=더불어 이 박사는 공공기관 사이트를 대상으로 한 암호이용 실태조사 분석결과를 발표했다. 그는“한국 공공기관 217개 사이트 중 회원가입이 가능한 127개 사이트를 11월 초 분석했고 추측불가능성과 패스워드 전송시 암호화 여부 등을 조사했다”고 밝히고 “분석결과 총 127개 사이트 중 111개 사이트가 패스워드 안정성 기준을 지키지 않았다. 조사하면서 너무 놀랐다”고 지적했다.
 
127개 공공사이트 중 87.4%에 달하는 111개 사이트가 기준미달로 조사된 것이다. 단 16개 사이트만이 기준에 만족한 것으로 드러났다.  
 
자세히 살펴보면, 108개 사이트는 패스워드를 4자리~6자리만 요구해 추측불가능성에 부적합했고 53개 사이트는 패스워드 암호화를 하지 않은 상태였다. 5개 사이트는 주민등록번호도 암호화하지 않은 것으로 드러났다.
 
이 박사는 “대부분 4자리 혹은 6자리 정도만 패스워드 길이를 요구했고 22개 사이트는 1자리 패스워드도 가능한 상태였다”며 “4~6자리 수는 해커입장에서 30분 내로 깰 수 있는 위험한 상황이며 패스워드 경우의 수도 8자리나 10자리에 비해 1/1000정도에 불과하다”고 경고했다.
 
또 “암호화 미적용 사이트들은 로그인 패스워드 변경시 패스워드가 노출되는 현상도 발생했다”며 “암호화를 하지 않으면 해킹에 의해 바로 국민의 주민등록번호, 주소, 이메일 등 개인정보가 유출될 수 있는 상황”이라고 덧붙였다.
 
일부 사이트는 패스워드 규칙에는 영문과 숫자를 조합하라고 제시하고 있지만 실제로는 영문이나숫자 하나로만 만들어도 로그인이 가능한것으로 드러났다. 또 패스워드 길이도 사이트에서 제시하는 길이와 다른게 만들어지는 경우도 있었고 패스워드 변경이 불가능한 경우와 이름과 주민번호를 입력하면 아이디와 패스워드를 보여주는 사례도 있었다.
 
이 박사는 “망법에 틀림없이 패스워드를 일방향 암호화하라고 명시하고 있음에도 불구하고 공공사이트에서 일방향 암호화를 하지 않고 있는 것을 확인했다”며 “공공사이트 전반적으로 패스워드 문제에서 안전하지 않은 상태라는 것을 확인할 수 있었다”고 밝혔다.
 
◇개선방안=개선방안으로 이 박사는 “패스워드 선택 및 이용 안내서를 충실히 따라야 한다. 또 이용자들이 기존 패스워드를 고집해 자릿수를 늘리기가 힘들다고 하지만 길이가 짧을수록 노출될 확률이 높아지기 때문에 길이와 문자조합을 안전하게 지킬 수 있도록 정책과 홍보가 필요하다”고 강조했다.
 
또 “사용자들의 패스워드 변경 유도를 위해 패스워드 안정성 검증 SW를 활용하는 방안도 적극 검토해야 하고 개인정보 전송시 SSL/TLS 등 안전한 암호기술을 적용해야 하며 패스워드는 일방향 암호화, 주민번호는 블록암호화를 해야한다”고 덧붙였다.
 
이외 로그인 실패 허용 횟수 제한과 암호기술 구현 컨설팅 및 교육지원, 구현상 발생하는 취약점 및 오류 개선, 모의 침투시험을 통한 취약성 진단 지원 등이 개선방안으로 권고됐다. [데일리시큐=길민권 기자]