숫자 4개만 눌러도 숫자와 문자, 특수기호가 혼합된 16자리 비밀번호가 생성되는 기술이 나왔다. 공인인증서 비밀번호 해킹은 물론이고 각종 인터넷 사이트 ID와 비밀번호 보안성을 스트레스 없이 높이는 방법이다.
로웸(대표 안태호)은 사용자가 스마트폰으로 네 자리 숫자를 누르지만 실제 입력 값은 16자리로 변환되는 ‘S-PAD’를 개발했다. 최근 잇따른 해킹 사건 후 인터넷 사이트 비밀번호 설정기준은 16자리에서 최다 32자리까지 늘어났다. 하지만 8자 이상 넘어가는 비밀번호를 일일이 기억하는 일은 쉽지 않다. 비밀번호 스트레스란 말까지 생겨날 정도다.
8자리 숫자로 된 비밀번호 해킹은 몇 초도 걸리지 않는다. 여기에 알파벳 석 자만 더하면 1년, 특수기호 2개를 추가하면 700만년까지 걸린다. 12자리 이상 알파벳 대문자, 소문자, 숫자, 특수기호 한두 개를 추가하면 사실상 해킹이 불가능하다. 해커가 엄청난 컴퓨팅 파워와 시간을 들여 ID와 비밀번호를 해킹하는 건 이른바 타산이 맞지 않는 탓이다.
문제는 복잡한 비밀번호를 기억하는 일이다. 로웸 S-PAD는 스마트폰에서 쓰는 개인별 보안키패드다. 인터넷뱅킹이나 전자상거래 때 비밀번호를 입력하는 보안키패드는 실제 키패드에 빈 공간을 넣어 공격자가 입력 값을 쉽게 탈취할 수 없도록 해주는 방식이다. 지금처럼 사용자가 약한 비밀번호를 쓰면 입력 값을 탈취할 필요도 없다.
S-PAD는 처음 설정할 때 숫자마다 개인별로 다른 난수가 발생한다. 예를 들어, 사용자는 1을 누르지만 실제 입력 값은 H8na다. 비밀번호를 7942로 했지만 실제는 ‘QMrniKe~$n4i45u*’로 입력된다. 비밀번호 강도가 자동으로 절대 안전 수준으로 상승한다. 각 인터넷뱅킹이나 포털에서 ID와 비밀번호를 설정할 때마다 서로 다른 난수가 생긴다.
S-PAD는 중간자공격(Man in the middle attack)에 강하다. PC로 특정사이트에 로그인할 때 ID와 비밀번호를 키보드로 입력하는 대신 스마트폰 S-PAD로 대신한다. PC 화면 로그인 창에 커서를 가져가면 미리 등록된 스마트폰으로 푸시 메시지가 오고 ID와 네 자리 비밀번호만 스마트폰에서 넣으면 바로 PC에서 로그인된다. PC가 키보드 입력 값을 유출하는 악성코드에 감염돼도 ID와 비밀번호를 빼내지 못한다.
안태호 로웸 대표는 “S-PAD는 개인 스마트폰에 설치해 비밀번호 강도를 높이며 이중 채널 동시 인증 효과도 있다”며 “실제 입력 값을 사용자도 알 수 없어 피싱과 파밍 피해도 줄인다”고 설명했다.
김인순기자 insoon@etnews.com