인터넷 포털 사이트 가입자들의 아이디와 비밀번호 2900만건을 훔친 40대 남자가 최근 경찰에 구속됐다. 2900만건이면 우리나라 인터넷 이용자 대부분의 계정이 털렸다는 뜻이 된다. 미국에서는 과커(Gawker)라는 유명 블로그 매체 이용자들의 계정이 뚫려 패스워드를 바꾸는 소동이 벌어졌다. 그렇다면 인터넷 계정(아이디와 패스워드)은 어떻게 관리해야 안전할까.

인터넷 포털 첫 화면에는 로그인 창이 있다. 이곳에는 '아이디'와 '비밀번호'를 입력하라고 써 있다. 네이버도 그렇고 다음과 네이트도 그렇다. 문제는 '비밀번호'다. 숫자만으로 된 비밀번호는 비밀번호가 아니다. 해커가 마음만 먹으면 쉽게 뚫을 수 있으니 '공개번호'나 다름없다. 따라서 '패스워드'나 '암호'란 용어를 쓰는 게 맞는데 관행상 '비밀번호'라고 한다.

숫자만으로 구성된 '비밀번호'를 쓰는 사람은 의외로 많다. 미국의 한 보안 전문가는 '라이프해커' 사이트에 올린 글에서 허술한 대표적인 패스워드로 △1234나 123456과 같은 일련번호 △사회보장번호(우리나라 주민등록번호) △생년월일 △배우자나 자녀 이름,또는 그 뒤에 0이나 1을 붙인 것 △거주 도시나 출신 대학 등을 꼽았다. 이런 패스워드를 쓰는 사람이 20%나 된다고 했다.

보안업체 아이퓨전랩 최고경영자(CEO)인 이 전문가는 특정인의 개인정보는 인터넷에서 검색하면 어렵지 않게 찾을 수 있고,허술한 패스워드는 인터넷에서 공짜로 구할 수 있는 '패스워드 크래커'(패스워드를 알아내는 프로그램)만 돌려도 알아낼 수 있다고 설명했다. 생년월일,전화번호,주민번호 등을 이용한 '비밀번호'는 이런 프로그램을 돌리지 않고도 누구든지 뚫을 수 있다.

이 전문가는 △패스워드에 사람 이름을 쓰지 말 것 △짧은 패스워드를 쓰지 말 것 △대문자 특수문자를 섞어 쓸 것 △똑같은 아이디 · 패스워드를 여러 사이트에서 쓰지 말 것 △패스워드를 자주 바꿀 것을 권했다. 또 패스워드를 소문자 서너개로만 만들면 패스워드 크래커로 1초 만에 알아낼 수 있는 반면 대문자 특수문자를 섞어 8자 이상으로 만들면 거의 알아낼 수 없다고 설명했다.

패스워드를 어렵게 만들었다고 안심할 수 있는 것은 전혀 아니다. 패스워드가 아무리 복잡해도 보안을 소홀히 하면 한순간에 뚫린다. 안철수연구소의 한 보안 전문가는 "해커가 의도적으로 만들어 놓은 함정 사이트에 아이디와 패스워드를 입력하면 해커 손에 고스란히 넘어간다"며 "트위터 사용자가 늘어나면서 이들을 유혹하는 함정 사이트도 부쩍 늘어났다"고 말했다.

해커가 악성 코드를 심어서 보낸 이메일을 열어보거나 악성 코드를 심어둔 사이트에서 동영상을 열어보기만 해도 컴퓨터에 악성 코드가 깔리고 이 악성 코드가 자판에 입력하는 아이디 · 패스워드를 해커에게 알려줄 수도 있다. 안철수연구소 전문가는 "믿을 수 없는 사이트를 함부로 이용하지 말고 보안 패치(취약점 보강 프로그램)가 나오면 곧바로 내려받아야 한다"고 말했다.

미국 보안 전문가는 "패스워드를 알아내는 방법은 헤아릴 수 없이 많다. 대부분 비싼 대가를 치르고 난 뒤에야 후회한다"며 "당하기 전에 패스워드 관리를 잘 하라"고 권했다. 대기업에서는 3개월마다 패스워드를 바꾸게 하는 곳이 많지만 중소기업이나 정부 기관에서는 1년 내내 내버려두는 곳이 많다. 문제는 한 사람이라도 뚫리면 기밀이 빠져나갈 수 있다는 점이다.

김광현 IT전문기자 khkim@hankyung.com