본문 바로가기

IT 기술 정보

비밀번호의 길이를 제한해선 안 된다. (feat. 네이버)

반응형

1. 비밀번호 길이를 늘리자

일전에 안전한 비밀번호의 기준에 대해 포스팅(#1, #2) 한 바 있다. 물론 내가 따로 수행한 연구는 아니고 NIST의 가이드를 인용한 것에 불과하지만 국내 보안 담당자들이 참고했으면 하는 부분이다. 

 

영세한 사이트들이야 그렇다고 치더라도, 일부 대형 커뮤니티 / 온라인 상거래 / 포털 사이트에서도 아직까지 비밀번호를 말도한되는 짧은 길이로 제한하는 경우가 있어서 이렇게 부득이 사이트명을 밝히며 제언을 한다. 

 

16자는 말도 안되게 짧은 길이이다. 이렇게 되면 안전한 비밀번호를 사용하고 싶어서 긴 비밀번호를 사용하는 사람은 네이버만을 위한, 상대적으로 취약한 짧은 비밀번호를 새로 고안해내야 한다.

이 부분은 반드시 개선되어야 한다!

 

2. MFA 인증을 다양화하자

그리고 이건 '반드시'라고 말하기 어려운 부분이긴 한데 우선 눈에 띄어 같이 언급해둔다.

MFA(2단계 인증)은 비밀번호 탈취나 크리덴셜 스터핑 등으로 부터 계정을 보호하는 가장 안전하고 쉬운 수단 중 하나로 MFA 기능이 제공된다면 무조건 사용을 권장하는 편이다.

 

그런데 MFA를 사용하기 위해 특정 앱을 설치해야 하는 경우 MFA 이용률이 줄어들 수 밖에 없다. 해외의 경우엔 Google, Facebook 등에서 나온 Authenticator(OTP 앱) 중 하나를 설치하여 연동케 하는 경우가 있는데 이렇게 하면 하나의 OTP 앱으로 여러 사이트의 MFA가 가능해지기 때문에 유용하다. 하지만 국내엔 아직까지 일부 가상화폐 거래소 등을 제외하면 도입이 활발하지 않은 어색한 방법이다. 특히 국내에선 SMS OTP가 너무 일상화되어 있기 때문에 딱히 외국 OTP 앱을 사용토록 할 필요도 크진 않다.

 

네이버 앱이 설치되어 있어야 사용 가능하다.

 

네이버 앱을 사용하지 않아 연동 가능한 기기가 없다.

 

네이버의 MFA는 네이버앱을 설치하고 로그인까지 해야 하기 때문에 부담이 클 수 밖에 없다. 네이버 앱이 가벼운 앱도 아니고 네이버 앱엔 다른 아이디로 로그인해두고 싶은 경우가 있을 수 있고 앱을 설치하고 로그인을 하는 경우 이메일, 카페 등 알림이 지속적으로 오는 것도 부담이다. (물론 끌수는 있을 거라고 생각한다.)

 

위에서 언급했듯이 국내에선 SMS OTP도 사용하기 좋은 환경이고, 조금 덜 편하지만 이메일을 사용할 수도 있다. 즉 이런 다른 방법들을 일절 허용하지 않고 네이버 앱 MFA만을 강조하는 것은 앱 설치를 늘리려는 마케팅 수단으로 느껴지도 한다. 하지만 보안과 영업을 이렇게 엮어 놓는 것은 배우 바람직하지 않고 말해두고 싶다. 외부 Authenticator를 연동까진 아니라도 이메일이나 SMS OTP를 쓸지 네이버 앱을 쓸지 선택하도록 하는 것이 바람직하지 않을까 싶다.

 

네이버 메일, 카페, 지식인, 부동산 등 네이버 계정이 탈취되었을 때의 파급력을 생각해보라. 어떻게든 MFA를 많이 쓰도록 하는 것이 중요하지 않을까?

반응형