이 질문에 바로 답하는 것은 쉽지 않아 보입니다. 계정을 안전하게 관리하기 위해 다음과 같은 사항을 확인하는 것이 좋습니다.

지난 몇 년 동안 비밀번호 없는 로그인과 패스키의 시장이 커지는 것에 대해 많은 연구가 있어 왔습니다. 스마트폰의 안면 인식이 보편화된 덕분에 스마트폰을 보는 것(생체 인증 혹은 다른 방법) 만으로 앱이나 서비스에 로그인할 수 있게 되었습니다. 이는 매우 신선하고 안전합니다. 하지만 우리들 중 많은 사람들이 여전히 비밀번호에 의존하고 있습니다. 이는 컴퓨터에서 더 뚜렷합니다.

비밀번호는 사이버 공격자에게 주된 목표이기 때문에 비밀번호를 안전하게 유지해야 할 필요가 있습니다. 그럼 우리는 얼마나 자주 비밀번호를 변경해야 할까요? 이 질문에 답하는 것은 여러분이 생각하는 것보다 훨씬 어려울 수 있습니다.

암호를 변경하는 것이 의미 없는 이유

얼마 전까지만 해도 비밀번호 유출을 막기 위해 주기적(30~90일)으로 암호 변경을 권장했습니다.

하지만, 시대가 변화함에 따라 자주 비밀번호를 변경한다고 해서 반드시 보안이 향상되는 것이 아니라는 연구 결과가 있습니다. 다시 말해 언제 비밀번호를 변경해야 하는 지 정해진 답은 없습니다. 또한 많은 사람들은 비밀번호를 관리하는 것은 둘째치고, 너무 많은 계정을 가지고 있습니다. 또한 우리는 현재 거의 모든 곳에서 패스워드 매니저와 투팩터 (2FA) 인증을 사용하고 있는 세상에서 살고 있습니다.

패스워드 매니저는 모든 계정에 대한 비밀번호를 더 쉽게 기억할 수 있는 것을 의미합니다. 투팩터 인증으로 우리는 로그인의 추가적인 프로세스를 통해 보안 계층을 강화할 수 있습니다. 일부 패스워드 매니저는 자동으로 플래그를 지정하는 다크 웹 모니터링 기능을 가지고 있습니다.

어쨌든, 보안 전문가들이나 NIST와 NCSC와 같은 연구원들은 주기적으로 비밀번호를 변경하도록 강제하지 않는데 여기에는 몇 가지 설득력 있는 이유가 있습니다.

그 근거는 매우 간단합니다.

• NIST에 따르면 "사용자이 가까운 미래에 비밀번호를 변경해야 한다는 것을 알다면 쉽게 암호를 기억하고자 할 것입니다."
• 또한 "암호를 변경할 때 암호의 숫자를 높이 것과 처럼 이전과 비슷한 암호를 선택하는 경우가 많습니다." 
• 암호를 강력하고 복잡하게 변경하지 않으면 공격자가 쉽게 다시 암호를 탈취할 수 있기 때문에 이것은 보안에 취약해 질 수 있습니다.
• NCSC에 따르면 특히나 몇 달마다 만드는 경우, 새 비밀번호는 적어 놓거나 잊어버릴 가능성이 더 높다고 말합니다.

"이것은 직관에 반하는 보안 시나리오 중 하나입니다. 사용자들에게 비밀번호를 강제로 변경하게 하면, 공격에 대한 취약성이 커집니다. 합리적이고 확립된 조언처럼 보였던 것이 전체 시스템 분석에 적합하지 않은 것으로 밝혀졌습니다." 라고  NCSC는 주장합니다.

"NCSC는 이제 회사들이 정기적으로 암호를 변경하도록 강요하지 않도록 권고합니다. 우리는 이것이 암호 만료와 관련된 취약성을 줄이는 동시에 장기적으로 공격의 위험이 증가하지 않는다고 믿습니다."

비밀번호를 변경 해야 하는 경우

그러나, 특히 가장 중요한 계정의 경우 다음의 상황에서는 비밀번호를 변경해야 합니다.

• 비밀번호가 유출되었습니다. 공급자가 알려 주거나, 다크웹에서 자동화된 검사를 실행하는 패스워드 매니저에서 알림을 받을 수도 있습니다.
• 비밀번호가 추측하기 쉽거나 해킹되었습니다. 해커는 도구를 사용해 여러 계정에서 같은 비밀번호로 접근 시도합니다.
• 여러 계정에서 동일한 비밀번호를 사용합니다. 하나라도 유출된다면 공격자는 다른 계정에 접근할 수 있습니다.
• 비밀번호를 다른 사람과 공유했습니다.
• 공유 계정에서 사용자를 제거했습니다. (예. 이전 하우스메이트)
• 공용 컴퓨터 (예. 라이브러리) 또는 다른 사람의 컴퓨터나 기기에 로그인했습니다.

좋은 비밀번호에 대한 조언

암호 유출 가능성을 최소화하기 위해 고려할 사항입니다.

• 항상 강력하고, 길고 나만의 암호를 사용합니다.
• 접근 가능한 하나의 자격 증명으로 모든 사이트나 앱에 대한 암호를 자동으로 불러올 수 있는 패스워드 매니저에 저장합니다.
• 비밀번호 유출 경고를 확인하고 수신 후 즉시 조치를 취합니다.
• 사용 가능할 때마다 2FA로 추가 보안을 제공합니다.
• 휴대폰을 사용해 계정에 원할하고 안전하게 접근하려면 암호키를 활성화하는 것이 좋습니다.
• 정기적으로 비밀번호를 검토합니다. 모든 계정의 비밀번호를 검토하고 중복되거나 추측하기 쉬운 비밀번호인지 확인합니다. 생일, 반복, 짧은 비밀번호의 경우 변경이 필요합니다.
• 브라우저에 비밀번호를 저장하지 않습니다. 브라우저의 정보를 훔치는 악성코드를 이용해 비밀번호를 탈취할 수있습니다. 또한 당신의 기기나 컴퓨터를 사용하는 다른 사람이 비밀번호를 알 수도 있습니다.

패스워드 매니저 (또는 ESET의 패스워드 생성기)에서 강력한 비밀번호를 만들 수 있습니다. 가능한 길고 대문자, 소문자, 숫자, 특수 문자를 포함하는 것이 좋습니다.

시간이 지나면 Google, Apple, Microsoft 등의 지원을 받아 패스키가 비밀번호 시대의 종말을 알리는 신호가 될 것으로 기대합니다. 하지만 그동안 계정이 안전한지 최대한 확인해야 합니다.