오래된 조언, 새로운 시각
오랫동안 우리는 “비밀번호는 주기적으로 바꿔야 안전하다”는 조언을 들어왔다. 많은 회사와 웹사이트도 보안 강화를 이유로 사용자가 일정 기간마다 비밀번호를 바꾸도록 권장해 왔다. 그러나 최근의 연구들은 이러한 방식이 비밀번호를 더 안전하게 만들지 못한다는 점을 보여주었고, 미국 국립표준기술연구소(NIST)는 오히려 역효과를 낼 수 있다고 경고한다.
왜 자주 바꾸면 위험할까
비밀번호를 자주 바꿔야 한다면 사람들은 기억하기 쉬운 단순한 방법을 택한다. 예를 들어 기존 비밀번호 뒤에 숫자를 붙이거나, 연도를 바꾸거나, 느낌표 하나를 추가하는 식이다. 이런 패턴은 해커가 예상하기 쉽다. 결과적으로 비밀번호는 길고 복잡해지는 대신 더 약해지고, 오히려 공격에 취약해질 수 있다.
NIST의 권고
NIST는 불필요한 비밀번호 변경을 강제하지 말라고 말한다. 비밀번호는 해킹이나 유출이 의심될 때에만 바꾸는 것이 바람직하다. 중요한 것은 얼마나 자주 바꾸느냐가 아니라, 처음부터 강력한 비밀번호를 만드는 것이다. 짧고 복잡한 비밀번호보다 길고 무작위적인 문구, 즉 패스프레이즈(passphrase)가 더 안전하다. 또한 여러 사이트에서 같은 비밀번호를 재사용하지 않는 것이 기본 원칙이다.
더 나은 해법: 이중 인증
비밀번호만으로는 충분하지 않다. 보안을 강화하는 가장 효과적인 방법은 이중 인증(2단계 인증)을 켜는 것이다. 비밀번호에 더해 일회용 코드를 입력하는 방식인데, 이 코드는 SMS로 받을 수도 있고, 전용 앱에서 생성하거나 보안 키로 인증할 수도 있다. 특히 앱 기반 인증이나 보안 키는 SMS보다 훨씬 안전하다. 대부분의 주요 서비스에서 사용자가 직접 계정 설정에서 이 기능을 켤 수 있다.
마무리하며
비밀번호 보안의 핵심은 “얼마나 자주 바꾸느냐”가 아니다. 강력한 비밀번호를 만들고, 이중 인증으로 보완하는 것이 훨씬 현명한 방법이다. 결국 비밀번호는 덜 바꾸되 더 강하게, 그리고 비밀번호 혼자만으로 계정을 지키지 않도록 하는 것이 오늘날 권장되는 보안 원칙이다.