비밀번호를 안전하게 보호하는 방법

(2022년 12월 메모) 글을 적은 후 오랜 시간이 흐르다 보니 본문 중 설명에서 이제는 유용하지 않은 것들이 다수 생겨                                    그런 부분들은 제거를 했습니다.                                

자주 듣는 이야기들 중에 하나가 게임 계정을 해킹당하여 아이템을 털렸다는 것입니다.
또 자주 보게 되는 것이 포털 ID가 도용을 당해 스팸에 이용되었다고 하소연하는 겁니다.

이런 일이 왜 일어날까요?

1 . 비밀번호가 너무 유추하기 쉬운 것이다.
2 . 시스템이 정보 유출형 악성코드에 감염이 되어 키로거등에 의하여 내 아이디와 비밀번호가
     누군가에게 전송이 되었다.
3 . PC방 등 공용 컴퓨터에서 로그인한 적이 있다.
     (물론 이 경우는 2.번이 그 원인입니다.)

사람들이 때때로 고전적 의미의 해킹을 당했다고,
즉 누군가가 나의 시스템, 내가 사용 중인 시스템에 접근을 해서 내 정보를 빼갔다고
믿음을 가지고 이야기하는 경우의 대다수는 사실은 위에 그 원인들을 언급한 거처럼
자기 스스로가 비밀번호 관리를 잘못했기 때문입니다.

이제 위의 1. 번과 3.번에 그 포커스를 맞추어 
적절하고 안전하게 나의 인터넷 계정들의 비밀번호들을 지키려면 어떻해야 하는지 알아가 보기로 합니다.

이야기를 진행하기 전에 한 가지 언급하면
첫 도입부는 누구나 알 만한 내용이지만,
끝으로 갈 수록 아무나 알 수 없는 내용이란 점입니다.

끝까지 읽어 보시고 안전하게 비밀번호를 사용하세요.

1 . 유추하기 어려운 비밀번호를 생성하자 .

만약 비밀번호를 내 생년월일이라든가, 집 전화번호등으로 한다면
그것은 너무 유추하기 쉬운 비밀번호가 됩니다.

어려운 비밀번호를 설정하려면
문자 + 숫자 + 특수문자로 만드는 것이 좋습니다.

그런데 이 경우에도

예를 들어서

내사랑다음양 이란 문자열과 1과 #이란 것으로 비밀번호를 만든다면

1내사랑다음양# >입력되는 영문자 형태로 치환한다면> 1sotkfkdekdmadid#

이런 식으로 만들어 버린다면 이 역시 유추가 가능할 수도 있는 비밀번호가 되는 것입니다.

그렇다면 어떻게 만들어야 할까요?

1 . 내사랑다음양이란 문자열중 짝수열 또는 홀수열의 문자만 쓰는 것입니다 .
    즉 내랑다(sofkdek) 또는 사다양(tkekdid) 만 비밀번호에 들어갈 문자열로 선택하는 것입니다.
    이렇게 되면 이것은 전혀 의미가 없는 문자열이 되기때문에 유추가 불가능한 문자열이 됩니다.

2 . 1과 # 이란 문자열의 경우는 앞이나 뒤에 붙이지 말고
    어느 위치를 정하여 붙여줍니다.
    예를 들어 내1랑#다(so1fkd#ek)와 같은 비밀번호를 만들어 버린다면
    이것은 아예 유추가 불가능한 비밀번호가 되는 것입니다.

이게 별것도 아닌 것 같지만
서버가 해킹당하는 많은 경우에 관리 비밀번호가 1234 이런 식으로 쉬운 경우가 많았고,
또 스팸에 이용당한 탈취된 계정들의 경우에도 그 비밀번호가 유출된 개인정보에서
유추 가능한 경우가 많았다는 것, 또 무작위로 비밀번호를 대입하는 프로그램들이 유추 가능한
경우들을 대입해서 계정 탈취를 한다는 것을 생각해 볼 때 결코 별것도 아닌 것으로 넘길 수는 없는
문제인 것입니다 .

비밀번호를 생성하는 이러한 힌트에 대하여는 KISA에서 제공한 아래 문서에
더 자세히 설명이 되어 있으니 비밀번호 생성에 애로를 겪는 분들께서는 참조하시기 바랍니다 .

(2022년 12월 메모) 문서의 내용이 지금 현재 상황과는 다소 맞지 않는 부분들이 많아 삭제했습니다. 비밀번호는 영문자(대소문자 구별 허용하는 곳에서는 대소문자 혼용) + 숫자 + 특수 문자 조합의 12자리 이상의 비밀번호로 정하는 게 최소한의 안전을 위한 가이드라인입니다. 또 2단계 인증을 지원하는 곳들에서는 2단계 인증을 반드시 사용하세요.

         
그러나 이거 저거 머리 복잡한거 싫다 하시는 분들도 계실겁니다 .
그런 분들께서는

링크가 더는 유효하지 않아 삭제 (2022년 12월 메모).


위 링크를 방문해서 간단히

이름, 연락처를 기입후 패스워드 자가 진단 도구를 다운로드합니다.

이게 별것 아닌 프로그램일 수도 있는데도 파일이 좀 큰 이유는 위에 올려놓은 .pdf 파일(2022년 12월 삭제됨)에서
유의하라고 언급한 모든 사항들을 데이터베이스화하여
유추가 절대 불가능한 비밀번호 생성을 그 목표로 하였기 때문으로 보입니다.

이 프로그램에 대한 설치 및 사용법 그리고 제거법은 아래 링크에 정리되어 있습니다.
(설치시 압축 파일 속의 두개의 파일을 같은 폴더로 압축 해제하고
.exe 파일을 더블 클릭해 설치하면 됩니다.)

링크가 더는 유효하지 않아 삭제 (2022년 12월 메모).

이제 이 프로그램에서 아까 제가 만들었던 내1랑#다(so1fkd#ek)를 검증해 봅니다.

검증 전에 우선 한 가지 설정을 해 주셔야 하는데요.
이 프로그램을 실행시킨 후 메뉴 줄에서
설정> 개인정보를 열고 열리는 창에서 개인 정보를 입력하셔야
비밀번호에 개인 정보가 쓰이지 않았음이 확인이 됩니다.

이것은 정보가 어디로 새는 것이 아니고 프로그램내에 존재하는 것이니 안심하셔도 되는데요.
일단 비밀번호 생성 후 입력했던 개인정보는 지워버리시면 되겠죠?

검증을 하면 위와 같이 그 결과를 보여 주고,
제가 만든 패스워드가 꽤 쓸 만한 패스워드임을 표시해 주고 있음이 보일 겁니다 .

여기까지 패스워드 생성 단계 설명을 마칩니다. ^ ^*

2 . 공용 PC에서는 인터넷 뱅킹 또는 로그인 행위를 하지 말자.

공용 PC의 경우에는 키로거 등 악의적인 악성 파일들이 심어져 있을 수 있기 때문에 
인터넷 뱅킹은 어떠한 경우에도 절대 하지 않는 것이 좋고요. 
그런데 여기까지는 어떻게 지켜보겠는데

사실,  PC 방에 가면 게임하러 가는 것인데
제가 게임을 하고자 하는데 로그인을 하지 말라시면 어찌해야 하옵니까가 되어 버리겠죠 _ _

그래서 이제 우리가 안전하게 만든 비밀번호가 공용 PC에서 새지 않는 방법을 알아보기로 합니다 .

공용 PC의 경우 악성코드가 심어진 경우에 문제를 일으키는 것이므로
백신 두어 개쯤으로 검사를 해 보고 사용하면 딱 속이 시원하겠지만,
그러다 보면 검사하는데만 PC방비 1,000원, 그리고 지루한 기다림 _ _
할 짓이 못 되겠죠?

그래서 검사 없이 사용한다는 가정하에 취해야 할 조치를 단계별로 정리를 해봅니다.

1 . 자리에 앉으면 시스템 트레이의 백신 아이콘에 마우스를 대어서 엔진 날짜가 오늘이 맞나 확인을 합니다 .
    백신은 설치되어 있으나 오래전 날짜의 엔진으로 돌아가는 PC가 꽤 되는 것으로 압니다.
    만약 오늘 날짜가 아니라면 업데이트를 해 줍니다.
    백신도 설치 안한 무성의한 PC방이라면 그냥 나오고 말기를 권장해 드리고요.
    아! 당연히 실시간 감시도 활성화 되어져 있어야 합니다 .
 
2 . 이제 인터넷 익스플로러의 자동 완성 폼을 해제해야 합니다.
    시작>설정에서 인터넷 옵션을 킵니다.
 
     

위 그림처럼 내용 탭으로 가서 자동 완성(U)을 눌러 뜨는 창에서 빨간 박스 친 부분들을 체크 해제 후
확인>적용합니다.

3 . 이제 게임을 하옵고자 하시는 사이트에 ^ ^*
    접속을 하는데 해당 사이트에서 제공하는 보안 프로그램들은 꼭 설치를 하시기 바랍니다. 

그러나 여기까지만으로는 안심이 안 됩니다.

그렇다면 어떻게 해야 보안성이 더 높아질까요 ?
그 해답은 바로 화상 키보드에 존재합니다 .

시작>프로그램>보조 프로그램>내게 필요한 옵션을 보면 화상 키보드를 볼 수 있습니다.

이 화상 키보드를 이용해 아이디와 비밀번호를 입력합니다.

또는 아래 링크에 제가 소개해 놓은 것과 같은
인터넷 익스플로러에서 사용이 가능한 화상 키보드도 존재합니다.

2009/06/24 - [유용한 팁들] - 인터넷 익스플로러용 화상 키보드

키보드 입력 값은 키의 값만 알아내면 되는 반면
마우스를 이용해 키값을 입력하는 경우에는 이 사람이 화상 키보드를 사용하고 있단 것도 알아채야 하고
또 입력된 키 값을 알기 위해서는 마우스의 클릭 좌표 값을 알아내야 하기 때문에
키보드로 입력하는 경우와 비교한다면 정보 유출의 염려가 상당히 적다고 보아도 됩니다 .

그러나 여기까지만 쓰고 글을 마친다면 저는 돌 맞습니다 _ _

그렇지 않아도 어제 선덕여왕의 결말이 이랬으면 하는 글 하나 쓴 다음에 제목을 잘못 정해서
돌들 많이 날아왔습니다. (그래도 저 그 글의 제목 안 바꾸고 꿋꿋히 버텼습니다. 참 갸륵하죠??)

그래서 이제 모두가 알 수는 없는 내용을 하나 더 소개해 드리고 글을 줄이려 합니다.

3 . 보안 키보드로 입력한 값을 복사해서 붙여넣기.

현재 트렌드 마이크로에서는 보안 화상 키보드를 제공하고 있습니다.
아마도 이런 프로그램은 이것 외에는 거의 없는 것으로 아는데요.
Transaction Guard라고 합니다.

Transaction Guard 실행하러 가기
링크가 더는 유효하지 않아 삭제 / 프로그램도 이제는 제공 안 되고 있습니다 (2022년 12월 메모).

위 링크에 들리어

위 그림에 빨간 박스 친 트랜잭션으로 점심 먹기를 클릭합니다 ㅋㅋ  _ _

그러면 ActiveX설치 창이 뜨는데 설치를 해 줍니다.
뜨는 설치 창에서 설치를 누르고 조금만 기다리시면
다운로드 창이 떠서 파일들이 다운로드되어진 후에

위 그림처럼 동의 창이 뜨면 동의를 해 주세요.

동의를 하면 위 그림처럼 Transaction의 설치 및 업데이트가 끝납니다.

이제 시스템 트레이를 보시면 

위 그림에 빨간 네모 쳐놓은 TV 수신기 같은 아이콘이 보이는데요.

그걸 마우스로 택한 후 마우스 오른쪽 버튼 눌러서 뜨는 메뉴에서 Password ClipBoard를 택합니다. 

그러면 이제 위 그림에서 보이는 것과 같은 보안 화상 키보드가 실행됩니다.

그러면 Field1에는 아이디를 써넣고, Field2에는 비밀번호를 써넣습니다.
Field2만이 입력값이 보이지 않게 처리되므로 Field2에 비밀번호를 넣으셔야 합니다.

이제 접속하려는 사이트의 아이디 입력란을 마우스로 찍고 F9 키를 누릅니다.
그러면 보안 화상 키보드가 뜹니다.
거기서 Field1의 Paste를 클릭해 아이디를 입력합니다.
마찬가지 방법으로 비밀번호도 입력합니다.

그런데 이 도구는 두 가지 제한점을 가집니다 .

1 .Transaction 을 위의 위 그림에서 볼 수 있는 메뉴에서 Exit한 후에는 다시 실행하려면
    또 다시 Transaction 실행 페이지로 가서 트랜젝션을 점심(?)으로 먹어 치우기를 클릭해 주어야 합니다.

2 . Flash를 이용해 로그인 창을 이용하는 사이트에서는 사용이 불가합니다.
     예를 들어 다음과 구글에서는 사용이 가능하지만, 네이버에서는 사용이 불가능합니다.

     그럼 Flash를 이용해 로그인 창을 만든 사이트 확인은 어떻게 하느냐?

     로그인에서 아이디 입력 창이든지 비밀번호 입력 창이든지 마우스로 꾹 찍은 후
     마우스 우버튼 눌러 보면 알 수 있습니다.

참조 - 트레이에서 Transaction 아이콘이 실행되는 동안은
           Transaction은 스파이웨어 실시간 감시도 한다고 합니다.

여기까지입니다 ^ ^*

제가 여기까지 드린 설명에 여러분들이 알고 계신 지식들까지 더하여
비밀번호 유출로 인하여 계정 탈취를 당하는 비극이 없었으면 합니다 ^ ^*