2016.09.29

블로그 | 사용자들이 뻔한 암호를 설정하는 이유

Evan Schuman | Computerworld
어쩌면 IT 부문이 다른 이유로 기업의 보안 의식에 책임감을 느껴야할지 모르겠다. 심리학자들이 진행한 암호 강도 조사에서 예상을 넘어선 결과가 나왔다. 보안 위협의 심각성에 대해 설명을 들은 현업 사용자들은 더 강력한 암호를 만들지 않았다.

연구에 따르면 보안 심각성에 대한 상세히 설명하면 현업 이용자들은 위협에 대항한 방어가 소용 없게 느끼게 되며 이로 인해 암호를 무기력하게 설정하는 경향이 있었다.

몽클레어 주립 대학(Montclair State University)의 이 조사는 IT 직원들이 방어 암호, PIN, 안전 문구가 위협 방어에 얼마나 강력한지에 대해 확실히 집중해야 한다고 제안한다. 좀더 자세한 정보는 더 아틀란틱의 보도를 통해 확인할 수 있다.

이 연구를 관장한 스타니슬라브 마모노프 교수는 이번 결과가 예상 밖이라고 말했다. 마모노프 교수는 “원래는 참여자들이 위협에 대해 스스로를 방어하고 싶어했을 것으로 예상했다. 하지만 위협의 강도를 강조하면 그들 스스로 무력감을 느꼈다. 위협에 대항하려는 노력을 오히려 기울이지 않게 된 것”이라고 말했다.

이는 당황스러운 사실이다. 사용자들이 야후의 5억 사용자 정보 유출 사고나 사물인터넷 기기를 통한 거대한 DDoS 공격 같은 것들의 위험성을 실감할 때 오히려 방어가 의미 없다고 느낀다는 의미다.

물론 이는 잘못된 생각이다. 거대 해킹 조직의 거대한 공격은 인정해야 할 현실이다. 그러나 각각의 유저들은 오직 자신의 데이터만 방어하면 된다. 특히 복잡하거나 긴 암호를 사용하는 것은 실질적으로 큰 도움이 된다.

거기에는 이유가 있다. 마치 수영을 하다가 상어를 만난다면 옆 사람을 상어에게 내주라는 오랜 이야기와 비슷하다. 다시 말해 암호는 주변인의 암호보다 조금만 더 강력하면 된다. 공격자들은 한 계정에 많은 시간을 쏟지 않는다. 시간 대비 비용 효율이 떨어지면 다른 계정 공격으로 넘어가게 된다.

즉 신원을 탈취 당하지 않으려면 공격자의 기준보다 조금만 더 높으면 된다. 쉬운 암호를 사용하는 주변인이 있는 한 이 방어법은 통할 가능성이 아주 높다.

호랑이에 쫓기는 두 사람 이야기와도 유사한 이야기다. 한 사람이 빠르게 달리기 시작하자 옆 사람이 물었다 “뭐하고 있어? 호랑이보다 빠를 수는 없잖아.” 그러자 그는 “호랑이보다 빠를 필요는 없어. 너 보다만 빠르면 살아”라고 말했다.

사이버 범죄자들을 절대 뚫지 못할 암호를 설정해야만 하는 것은 아니다. 그저 조금만 어렵게 설정해도 범죄자들은 다른 희생자를 찾아 간다. 자신의 암호를 어렵게 설정하는 노력을 포기하지 않아야 할 이유다.

* Evan Schuman은 IT 분야 전문 기고가로 리테일 테크놀로지 사이트 스토어프론티백토크의 설립 편집자다. ciokr@idg.co.kr 



2016.09.29

블로그 | 사용자들이 뻔한 암호를 설정하는 이유

Evan Schuman | Computerworld
어쩌면 IT 부문이 다른 이유로 기업의 보안 의식에 책임감을 느껴야할지 모르겠다. 심리학자들이 진행한 암호 강도 조사에서 예상을 넘어선 결과가 나왔다. 보안 위협의 심각성에 대해 설명을 들은 현업 사용자들은 더 강력한 암호를 만들지 않았다.

연구에 따르면 보안 심각성에 대한 상세히 설명하면 현업 이용자들은 위협에 대항한 방어가 소용 없게 느끼게 되며 이로 인해 암호를 무기력하게 설정하는 경향이 있었다.

몽클레어 주립 대학(Montclair State University)의 이 조사는 IT 직원들이 방어 암호, PIN, 안전 문구가 위협 방어에 얼마나 강력한지에 대해 확실히 집중해야 한다고 제안한다. 좀더 자세한 정보는 더 아틀란틱의 보도를 통해 확인할 수 있다.

이 연구를 관장한 스타니슬라브 마모노프 교수는 이번 결과가 예상 밖이라고 말했다. 마모노프 교수는 “원래는 참여자들이 위협에 대해 스스로를 방어하고 싶어했을 것으로 예상했다. 하지만 위협의 강도를 강조하면 그들 스스로 무력감을 느꼈다. 위협에 대항하려는 노력을 오히려 기울이지 않게 된 것”이라고 말했다.

이는 당황스러운 사실이다. 사용자들이 야후의 5억 사용자 정보 유출 사고나 사물인터넷 기기를 통한 거대한 DDoS 공격 같은 것들의 위험성을 실감할 때 오히려 방어가 의미 없다고 느낀다는 의미다.

물론 이는 잘못된 생각이다. 거대 해킹 조직의 거대한 공격은 인정해야 할 현실이다. 그러나 각각의 유저들은 오직 자신의 데이터만 방어하면 된다. 특히 복잡하거나 긴 암호를 사용하는 것은 실질적으로 큰 도움이 된다.

거기에는 이유가 있다. 마치 수영을 하다가 상어를 만난다면 옆 사람을 상어에게 내주라는 오랜 이야기와 비슷하다. 다시 말해 암호는 주변인의 암호보다 조금만 더 강력하면 된다. 공격자들은 한 계정에 많은 시간을 쏟지 않는다. 시간 대비 비용 효율이 떨어지면 다른 계정 공격으로 넘어가게 된다.

즉 신원을 탈취 당하지 않으려면 공격자의 기준보다 조금만 더 높으면 된다. 쉬운 암호를 사용하는 주변인이 있는 한 이 방어법은 통할 가능성이 아주 높다.

호랑이에 쫓기는 두 사람 이야기와도 유사한 이야기다. 한 사람이 빠르게 달리기 시작하자 옆 사람이 물었다 “뭐하고 있어? 호랑이보다 빠를 수는 없잖아.” 그러자 그는 “호랑이보다 빠를 필요는 없어. 너 보다만 빠르면 살아”라고 말했다.

사이버 범죄자들을 절대 뚫지 못할 암호를 설정해야만 하는 것은 아니다. 그저 조금만 어렵게 설정해도 범죄자들은 다른 희생자를 찾아 간다. 자신의 암호를 어렵게 설정하는 노력을 포기하지 않아야 할 이유다.

* Evan Schuman은 IT 분야 전문 기고가로 리테일 테크놀로지 사이트 스토어프론티백토크의 설립 편집자다. ciokr@idg.co.kr 

X