4자리 비밀번호, 16자리로 만드는 기술 등장

숫자 4개만 눌러도 숫자와 문자, 특수기호가 혼합된 16자리 비밀번호가 생성되는 기술이 나왔다. 공인인증서 비밀번호 해킹은 물론이고 각종 인터넷 사이트 ID와 비밀번호 보안성을 스트레스 없이 높이는 방법이다.

4자리 비밀번호, 16자리로 만드는 기술 등장

로웸(대표 안태호)은 사용자가 스마트폰으로 네 자리 숫자를 누르지만 실제 입력 값은 16자리로 변환되는 ‘S-PAD’를 개발했다. 최근 잇따른 해킹 사건 후 인터넷 사이트 비밀번호 설정기준은 16자리에서 최다 32자리까지 늘어났다. 하지만 8자 이상 넘어가는 비밀번호를 일일이 기억하는 일은 쉽지 않다. 비밀번호 스트레스란 말까지 생겨날 정도다.

8자리 숫자로 된 비밀번호 해킹은 몇 초도 걸리지 않는다. 여기에 알파벳 석 자만 더하면 1년, 특수기호 2개를 추가하면 700만년까지 걸린다. 12자리 이상 알파벳 대문자, 소문자, 숫자, 특수기호 한두 개를 추가하면 사실상 해킹이 불가능하다. 해커가 엄청난 컴퓨팅 파워와 시간을 들여 ID와 비밀번호를 해킹하는 건 이른바 타산이 맞지 않는 탓이다.

문제는 복잡한 비밀번호를 기억하는 일이다. 로웸 S-PAD는 스마트폰에서 쓰는 개인별 보안키패드다. 인터넷뱅킹이나 전자상거래 때 비밀번호를 입력하는 보안키패드는 실제 키패드에 빈 공간을 넣어 공격자가 입력 값을 쉽게 탈취할 수 없도록 해주는 방식이다. 지금처럼 사용자가 약한 비밀번호를 쓰면 입력 값을 탈취할 필요도 없다.

S-PAD는 처음 설정할 때 숫자마다 개인별로 다른 난수가 발생한다. 예를 들어, 사용자는 1을 누르지만 실제 입력 값은 H8na다. 비밀번호를 7942로 했지만 실제는 ‘QMrniKe~$n4i45u*’로 입력된다. 비밀번호 강도가 자동으로 절대 안전 수준으로 상승한다. 각 인터넷뱅킹이나 포털에서 ID와 비밀번호를 설정할 때마다 서로 다른 난수가 생긴다.

S-PAD는 중간자공격(Man in the middle attack)에 강하다. PC로 특정사이트에 로그인할 때 ID와 비밀번호를 키보드로 입력하는 대신 스마트폰 S-PAD로 대신한다. PC 화면 로그인 창에 커서를 가져가면 미리 등록된 스마트폰으로 푸시 메시지가 오고 ID와 네 자리 비밀번호만 스마트폰에서 넣으면 바로 PC에서 로그인된다. PC가 키보드 입력 값을 유출하는 악성코드에 감염돼도 ID와 비밀번호를 빼내지 못한다.

안태호 로웸 대표는 “S-PAD는 개인 스마트폰에 설치해 비밀번호 강도를 높이며 이중 채널 동시 인증 효과도 있다”며 “실제 입력 값을 사용자도 알 수 없어 피싱과 파밍 피해도 줄인다”고 설명했다.

김인순기자 insoon@etnews.com