웹이든 앱이든 서비스를 이용하다보면 몇달에 한번 씩 비번을 변경하라는 캠페인 창이 한번씩 뜨곤 한다. “개인정보를 보호하기 위해” 비밀번호를 변경하라는데 사용자 입장에서는 상당히 귀찮은 일이다. 비번을 이번에 변경하지 않으면 다음에 변경할 수 있도록 한번 건너뛰는 옵션을 제공하는 서비스들도 있으나 그럴 경우 다음번 변경 안내창은 더 빨리 뜨는 경우가 많다. 아무튼 비번을 변경하지 않으면 계속 귀찮게 비번 변경 안내창을 더 자주 봐야한다.
내가 아무리 철저하게 비밀번호를 관리한다 한들 전혀 상관없이 모든 회원에게 동일한 기준으로 강제하고 있다. 비번 관리 프로그램을 사용하는 사람들은 다들 그렇겠지만 나 역시 모든 사이트의 비번을 p47jPH3Y$Pfk#%s 처럼 1. 무작위 문자열로 2. 다 다르게 사용하고 있다. 그렇다보니 악의적 사용자가 1. 유추할 수도 없고 2. 무작위 대입법으로도 뚫을 수 없고 3. 한 사이트가 털려도 다른 사이트에 로그인할 수 없다.
사용자에게 사이트의 비번을 변경하라고 하면 상식적으로 그럴만한 이유가 있어야 한다. 자기네 사이트가 털렸다거나 타 사이트가 해킹당했다거나 그래서 사용자가 귀찮음을 감수하고서라도 비번을 변경할만한 이유가 있어야하는데 그저 몇달이 지났다는 이유로 계속 비번을 바꾸라고 요구한다. 비번을 바꾸면 안전해지나? 사이트 운영자들은 그렇게 생각할 수도 있으나 하나의 사이트의 비번을 6개월마다, 3개월마다 변경해야한다면 그것을 여러개, 수십개, 수백개의 사이트에서 반복해야 한다면 사용자들은 당연히 비번을 기억하지 못할 것이다. 비번 관리 앱을 사용한다면 다행이지만 그렇지 않은 사용자들은 1. 비번을 종이나 노트(앱)에 적어서 보관하거나 2. 변경하는 척 하고 한번 변경했다가 곧바로 다시 본인이 기억하는 원래 비번으로 다시 저장할 것이다. 당연히 보안상 가장 취약한 방법이다. 이것은 마치 액티브액스 남발로 인해 브라우저에서 무슨 창이라도 뜨면 다들 “예”를 누르게 훈련된 나머지 오히려 온갖 악성 액티브엑스들이 창궐했던 예전의 경험을 돌아볼 필요가 있다.
서비스 업체들은 합당한 이유가 있을 때에만 제한적으로 전회원에게 일괄 비번 변경을 요구하여야 한다. 100개의 사이트가 6개월마다 비번 변경을 요구한다면 사용자는 이틀에 한번꼴로 사이트 비번을 변경해야 한다. 해당 사이트의 기획자들은 자신들이 이렇게 비번 변경을 강제할 때 사용자들이 실제로 어떻게 비번을 변경하고 관리하고 있는지 모니터링 해 봐야 한다. 자신들은 보안을 강화하기 위해 취하는 조치라고 하겠지만 실제로 보안이 강화되는지의 여부는 전혀 별개의 문제이다. 심지어 보안키보드라는 것을 사용하게 하는 모 쇼핑몰은 정말 최악이다. 자체 키보드를 띄움으로써 비번관리 프로그램의 자동입력 기능을 사용하지 못하게 하고 비번 관리 프로그램에서 복사&붙이기 기능을 사용하지 못하고 모든 키를 다 외워서 직접 하나하나 타이핑을 해야 한다. 위 예에서 말한 것처럼 비번을 어디에 적어두거나, 변경하는 척 하고 익숙한 비번을 다시 사용할 수 밖에 없는 키보드다. 가상 키보드를 띄우자고 제안한 기획자나 의사결정한 책임자는 본인들이 상상한 것처럼 사람들이 가상키보드를 이용해서 안전하게 비번을 변경하고 있는지 제발 사용자 조사를 한번 해보길 바란다.
그들보다 더 많은 해킹시도가 있고, 털렸을 때 피해가 막중할 대형 포탈이나 SNS들은 이런 캠페인 따위는 하지 않는다. 예를 들면 구글이나 페이스북, 네이버나 카카오 등. 이런 비번 변경쇼는 대개 어정쩡한 사이트들의 주특기 같다. 보안 관련해서 뭔가 하긴 해야할 것 같고 2단계인증을 도입하거나 고도화된 비정상적인 접근패턴 감지, 이메일 주소만 적으면 메일로 접속 링크를 보내는 방식 같은 보안 강화 로그인 방식을 도입하기엔 자본과 실력이 부족하거나, 의사결정 과정이 난감한 사이트들 말이다. 그저 사용자들에게 불편함을 감수하게 하고 그럼으로써 뭔가 보안에 신경을 쓰는 사이트겠거니 하는 위약효과 같은 것을 주는게 목적이 아닐까 싶다. 아니면 그들 스스로도 그렇게 믿고 있거나. 어쩔 수 없이 알면서도 모른척하는 연극을 하고 있거나.