Information

이지시큐 정보센터

잦은 온라인 ‘비밀번호 변경’, 보안에 도움 안 된다고?

최신동향
작성자
이지시큐
작성일
2018-04-02 09:16
조회
190
“회원님은 장기간 똑같은 비밀번호를 사용하고 있습니다. 비밀번호를 변경해 주세요. 변경을 원하지 않으시면 30일 후에 다시 안내합니다.”
이제는 거의 모든 사이트에서 정기적으로 보게 되는 ‘비밀번호 변경’ 안내 문구다. 일정한 간격을 두고 비밀번호를 변경하는 것이 안전하다는 것은 인터넷 상식으로 통한다. 그런데 실제로 비밀번호를 주기적으로 변경하는 것이 보안에 도움이 될까?

29일 현지 언론 보도에 따르면, 일본 총무성은 지난해 가을부터 ‘국민을 위한 정보 보안 사이트’에서 “비밀번호를 정기적으로 변경하는 것은 불필요하다”고 공지하고 있다. 2003년 사이트 개설 당시에는 “(비밀번호를) 정기적으로 변경해야 한다”고 당부했지만 바뀐 것이다.
이미 지난해 6월 미국 국립 표준 기술 연구소(NIST)는 서비스를 제공하는 측에서 암호의 정기적 변경을 요구하지 말라는 지침을 발표한 바 있다. 이에 따르면 필수적인 비밀번호 변경은 비밀번호가 유출됐거나 노출될 수 있다는 큰 우려가 있는 경우, 비밀번호가 유출됐다는 증거가 있을 때에만 강제하는 것이 좋다. 임의의 일수가 지났기 때문에 비밀번호 변경을 강제하는 것은 좋지 않다. 미국 노스캐롤라이나대 연구팀도 사용자가 비밀번호를 자주 바꿔도 예측 가능한 변형이라면 위험은 거의 줄지 않는다고 주장했다.

...중략...

KISA 관계자는 “사실 이 비밀번호의 보안 강도가 높고, 내 PC와 휴대전화에서만 쓴다면 바꿀 이유가 없을 것”이라며 “다만 보안이 취약한 공공장소에 가서 로그인하거나 PC방 등에서 로그인하면 비밀번호가 나도 모르게 유출 될 가능성이 높다. 때문에 이에 대비해 정기적인 비밀번호 변경을 권고하고 있는 것”이라고 설명했다.

출처 : 동아닷컴 박예슬 기자
http://news.donga.com/Main/3/all/20180330/89385201/2
error: Content is protected !!