맨디언트가 ‘세계 비밀번호의 날’을 맞아 안전한 비밀번호 생성을 위한 다섯 가지 주요 권고사항을 발표했다.
맨디언트 기술 위험 및 위협 인텔리전스 담당 전문가 매트 셸턴(Matt Shelton)이 다섯 가지로 정리한 사항 중 첫 번째는 가능한 경우, 은행, 이메일 및 소셜 미디어 계정을 우선순위로 다중 인증(Multi-Factor Authentication;이하 MFA)을 사용해야 한다는 점이다.
유비키와 같은 하드웨어 토큰과 구글 어센티케이터와 같은 소프트웨어 토큰은 SMS 기반 MFA보다 더 안전하다. 다만, 단순히 비밀번호를 사용하는 것보다는 SMS 기반 MFA가 안전하다.
두 번째로, 기업은 직원 MFA 토큰의 모바일 푸시 알림을 비활성화해야 한다. 맨디언트는 지난 몇 년 간 모바일 푸시 기능을 악용하는 공격자가 늘어난 것을 관찰했다.
세 번째는 이용하는 사이트 별로 고유한, 복잡하고 긴 암호를 사용해 올바른 비밀번호 상태를 유지하는 것이다. 강력한 비밀번호의 핵심은 기억하기 어려운 것이 아니라 비밀번호의 길이에 있다. 따라서 기억하기 쉬운 긴 비밀번호를 사용하는 것이 좋다.
네 번째는 비밀번호 관리자 프로그램을 사용해 방문하는 모든 사이트에 대한 비밀번호 저장을 고려하는 것이다. 비밀번호 관리자를 선택할 때는 업계에서 인정받는 프로그램을 사용하고 비밀번호를 절대 데스크톱의 문서에 저장하지 말아야 한다.
끝으로, 안전한 비밀번호를 설정한 이후, 더 이상 정기적으로 비밀번호를 변경할 필요가 없다. 대신 비밀번호가 유출된 사이트를 확인했다면 변경해야 한다. 많은 경우, 비밀번호 유출 발생 시 비밀번호 관리자 프로그램에서 신속하게 알림을 보낼 것이다.
헬로티 서재창 기자 |
