2016.06.20

'암호 관리 프로그램' 제대로 쓰기 5계명

Lucian Constantin | IDG News Service
거의 매주 데이터 유출 사건이 터지고 있다. 이들 사건은 단순하지만 불편한 진실, 즉 여전히 많은 사람이 쉬운 암호를 그것도 여러 사이트에서 동일하게 사용한다는 것을 잘 보여준다. 


이미지 출처: Stephen Lawson

그렇다고 해서 수십 개의 복잡한 암호를 기억하는 것은 거의 불가능하다. 암호를 바꿀 때마다 수정한 암호 공책을 갖고 다닐 수도 없다. 그래서 등장한 것이 바로 '암호 관리 프로그램'이다. 사람들이 이 프로그램에 기대하는 핵심 기능이기도 하다.

1. 계정별로 다른 암호를 설정하라
암호 유출 사고는 '가능성'의 문제가 아니라 '시기'의 문제이다. 따라서 각 온라인 계정마다 다른 암호를 사용해 해킹의 피해를 줄여야 한다. 다른 암호를 사용하는 것 외에 해커가 예상할 수 없는 암호를 만드는 것도 중요하다. 바로 여기서 암호 관리 프로그램이 큰 역할을 할 수 있다. 이런 프로그램은 모바일 기기를 포함해 거의 모든 브라우저와 운영체제에서 아주 쉽게 사용할 수 있다.

2. 암호는 복잡하게 만들어라
암호 관리 프로그램 대부분은 복잡한 암호를 만드는 기능을 지원하는데, 이것은 매우 중요하다. 일반적으로 웹사이트는 사용자 비밀번호를 암호화한 형태로 저장한다. 이를 '해시(hashes)'라고 한다. 그러나 이 작업에 사용한 알고리즘에 따라 해시를 깨뜨리고 암호를 빼낼 수 있다. 이때 암호를 복잡하게 설정하면 해시에서 비밀번호를 추출하기 더 어려워진다. 대문자와 소문자, 숫자, 특수기호 등을 조합해 총 12자리 이상의 암호를 사용하는 것이 좋다.

개별 암호는 이렇게 관리한다고 해도 암호 관리 프로그램에 로그인하는 '마스터 암호'는 여전히 기억해야 한다. 가끔은 어떤 이유로 암호 관리 프로그램을 사용할 수 없을 때 이메일 같은 몇몇 주요 계정의 비밀번호가 필요할 때가 있다. 이런 때를 대비해 기억하기 쉬운 암호를 만들고자 한다면 숫자와 대문자를 조합하는 것이 좋다. 예를 들면 'DogsCatsRabbitsMyTop3Animals'라고 암호를 정하는 식이다. 문장처럼 길어서 보통 이를 '통과 구문(passphrases)'이라고 부른다.

3. 오프라인 vs. 온라인
현재 시중에 나온 암호 관리 프로그램은 다양한 형태로 실행된다. 먼저 패스(KeePass)나 패스워드 세이프(Password Safe), 인패스(Enpass) 등은 오프라인으로 작동한다. 따라서 여러 기기에 걸쳐 동기화할 수 없고, 비밀번호를 추가, 변경할 때마다 암호화된 데이터베이스를 기기에 각각 옮겨야 한다. 그렇지 않으면 드롭박스 같은 외부 클라우드 공유 서비스를 이용해 비밀번호 데이터베이스를 동기화해야 한다.

반면 라스트패스(LastPass), 대시래인(Dashlane), 원패스워드(1Password)는 온라인 서비스 방식 제품이다. 다양한 기기에 걸쳐 비밀번호 데이터베이스를 자동으로 동기화하고, 웹사이트를 통해서도 모든 비밀번호를 볼 수 있다. 이런 온라인 공간을 암호 보관실 즉 '볼트(vault)'라고 한다. 만약 서비스형 제품을 사용한다면 아키텍처를 유심히 볼 필요가 있다. 데이터베이스 암호화를 로컬 애플리케이션이나 브라우저에서 해제하는지 확인해야 한다. 마스터 암호를 서비스 업체와 공유하지 않는 것도 중요하다.

4. 마스터 암호에만 의지하지 마라
하나의 마스터 암호로 모든 암호를 보호하는 것은 좋은 생각이 아니다. 이곳만 뚫리면 모든 암호가 한 번에 노출되기 때문이다. 따라서 많은 암호 관리 프로그램이 암호 볼트에 접속할 때 이중인증(2단계 검증(two-step verification)이라고 부르기도 한다)을 지원한다. SMS나 구글 인증기(Google's Authenticator) 같은 앱으로 일회용 코드를 전송받아 입력받는 방식이다.

현재 사용하는 암호 관리 프로그램이 이 기능을 지원한다면 당장 활성화하는 것이 좋다. 이중인증을 암호 관리 프로그램의 마스터 암호 외에 모든 온라인 계정에 사용하는 것도 좋은 생각이다. 암호를 보호하는 추가 단계를 두는 것으로 절대 손해 볼 일이 없는 조치다.

5. 다른 보안 기능을 이용하라
일부 암호 관리 프로그램은 일정 시간 사용하지 않으면 자동 로그아웃되는 기능을 지원한다. 이 기능은 특히 여러 사람이 함께 사용하는 컴퓨터에서 유용하다. 암호 볼트를 오랜 시간 동안 사용할 수 있는 상태로 열어두는 것은 절대 좋은 생각이 아니다. 일정 시간이 지나면 자동 로그아웃하도록 설정하면 개인 PC가 일시적으로 악성코드에 감염됐을 때도 피해를 줄일 수 있다. 이와 함께, 이중인증 없이 볼트에 접근할 수 있는 '신뢰할 수 있는 기기'는 등록해 두지 않는 것이 좋다. ciokr@idg.co.kr



2016.06.20

'암호 관리 프로그램' 제대로 쓰기 5계명

Lucian Constantin | IDG News Service
거의 매주 데이터 유출 사건이 터지고 있다. 이들 사건은 단순하지만 불편한 진실, 즉 여전히 많은 사람이 쉬운 암호를 그것도 여러 사이트에서 동일하게 사용한다는 것을 잘 보여준다. 


이미지 출처: Stephen Lawson

그렇다고 해서 수십 개의 복잡한 암호를 기억하는 것은 거의 불가능하다. 암호를 바꿀 때마다 수정한 암호 공책을 갖고 다닐 수도 없다. 그래서 등장한 것이 바로 '암호 관리 프로그램'이다. 사람들이 이 프로그램에 기대하는 핵심 기능이기도 하다.

1. 계정별로 다른 암호를 설정하라
암호 유출 사고는 '가능성'의 문제가 아니라 '시기'의 문제이다. 따라서 각 온라인 계정마다 다른 암호를 사용해 해킹의 피해를 줄여야 한다. 다른 암호를 사용하는 것 외에 해커가 예상할 수 없는 암호를 만드는 것도 중요하다. 바로 여기서 암호 관리 프로그램이 큰 역할을 할 수 있다. 이런 프로그램은 모바일 기기를 포함해 거의 모든 브라우저와 운영체제에서 아주 쉽게 사용할 수 있다.

2. 암호는 복잡하게 만들어라
암호 관리 프로그램 대부분은 복잡한 암호를 만드는 기능을 지원하는데, 이것은 매우 중요하다. 일반적으로 웹사이트는 사용자 비밀번호를 암호화한 형태로 저장한다. 이를 '해시(hashes)'라고 한다. 그러나 이 작업에 사용한 알고리즘에 따라 해시를 깨뜨리고 암호를 빼낼 수 있다. 이때 암호를 복잡하게 설정하면 해시에서 비밀번호를 추출하기 더 어려워진다. 대문자와 소문자, 숫자, 특수기호 등을 조합해 총 12자리 이상의 암호를 사용하는 것이 좋다.

개별 암호는 이렇게 관리한다고 해도 암호 관리 프로그램에 로그인하는 '마스터 암호'는 여전히 기억해야 한다. 가끔은 어떤 이유로 암호 관리 프로그램을 사용할 수 없을 때 이메일 같은 몇몇 주요 계정의 비밀번호가 필요할 때가 있다. 이런 때를 대비해 기억하기 쉬운 암호를 만들고자 한다면 숫자와 대문자를 조합하는 것이 좋다. 예를 들면 'DogsCatsRabbitsMyTop3Animals'라고 암호를 정하는 식이다. 문장처럼 길어서 보통 이를 '통과 구문(passphrases)'이라고 부른다.

3. 오프라인 vs. 온라인
현재 시중에 나온 암호 관리 프로그램은 다양한 형태로 실행된다. 먼저 패스(KeePass)나 패스워드 세이프(Password Safe), 인패스(Enpass) 등은 오프라인으로 작동한다. 따라서 여러 기기에 걸쳐 동기화할 수 없고, 비밀번호를 추가, 변경할 때마다 암호화된 데이터베이스를 기기에 각각 옮겨야 한다. 그렇지 않으면 드롭박스 같은 외부 클라우드 공유 서비스를 이용해 비밀번호 데이터베이스를 동기화해야 한다.

반면 라스트패스(LastPass), 대시래인(Dashlane), 원패스워드(1Password)는 온라인 서비스 방식 제품이다. 다양한 기기에 걸쳐 비밀번호 데이터베이스를 자동으로 동기화하고, 웹사이트를 통해서도 모든 비밀번호를 볼 수 있다. 이런 온라인 공간을 암호 보관실 즉 '볼트(vault)'라고 한다. 만약 서비스형 제품을 사용한다면 아키텍처를 유심히 볼 필요가 있다. 데이터베이스 암호화를 로컬 애플리케이션이나 브라우저에서 해제하는지 확인해야 한다. 마스터 암호를 서비스 업체와 공유하지 않는 것도 중요하다.

4. 마스터 암호에만 의지하지 마라
하나의 마스터 암호로 모든 암호를 보호하는 것은 좋은 생각이 아니다. 이곳만 뚫리면 모든 암호가 한 번에 노출되기 때문이다. 따라서 많은 암호 관리 프로그램이 암호 볼트에 접속할 때 이중인증(2단계 검증(two-step verification)이라고 부르기도 한다)을 지원한다. SMS나 구글 인증기(Google's Authenticator) 같은 앱으로 일회용 코드를 전송받아 입력받는 방식이다.

현재 사용하는 암호 관리 프로그램이 이 기능을 지원한다면 당장 활성화하는 것이 좋다. 이중인증을 암호 관리 프로그램의 마스터 암호 외에 모든 온라인 계정에 사용하는 것도 좋은 생각이다. 암호를 보호하는 추가 단계를 두는 것으로 절대 손해 볼 일이 없는 조치다.

5. 다른 보안 기능을 이용하라
일부 암호 관리 프로그램은 일정 시간 사용하지 않으면 자동 로그아웃되는 기능을 지원한다. 이 기능은 특히 여러 사람이 함께 사용하는 컴퓨터에서 유용하다. 암호 볼트를 오랜 시간 동안 사용할 수 있는 상태로 열어두는 것은 절대 좋은 생각이 아니다. 일정 시간이 지나면 자동 로그아웃하도록 설정하면 개인 PC가 일시적으로 악성코드에 감염됐을 때도 피해를 줄일 수 있다. 이와 함께, 이중인증 없이 볼트에 접근할 수 있는 '신뢰할 수 있는 기기'는 등록해 두지 않는 것이 좋다. ciokr@idg.co.kr

X