[서울파이낸스 이종용 기자] 웹사이트에서 본인 여부를 확인하기 위한 보안점검용 질문을 지금보다 훨씬 복잡하게 만들어야 한다는 주장이 제기됐다. 그렇지 않으면, 이메일 해킹이 너무나 쉽기 때문이라는 것이다.
영국 BBC방송은 9일 케임브리지대학 인터넷 보안 전문가인 조지프 보노 교수의 말을 인용해 본인 확인용 질문이 너무 쉽다며 이같이 보도했다.
은행이나 신용카드 회사, 웹메일 제공업체 등 대다수 웹사이트 운영자들은 고객이나 가입자들이 계정을 바꿀 때 보충 질문을 사용하지만, 침입하고 싶은 특정인의 계정이 있고 몇 시간 소비할 용의가 있다면 공격자들은 손쉽게 본인 확인을 받아 비밀번호를 변경할 수 있다는 게 보노 교수의 설명이다.
마이크로소프트와 카네기멜런대학이 공동으로 벌인 조사에 따르면 특정인의 가족이나 친구들이 본인 확인용 질문의 답을 맞히는 비율이 17%에 달할 정도로 질문이 쉬웠다고 한다.
보노 교수는 "사람들이 정답으로 사용하는 정보들이 너무 많이 알려져 있는 것이 문제"라며 "예를 들어 결혼이나 출생 기록을 묻는 경우가 많지만 이들 기록의 상당수는 온라인을 통해 입수할 수 있는 것"이라고 지적했다.
보노 교수는 동료 교수들과 함께, 특정인에 대해 아는 것이 전혀 없는 공격자가 얼마나 쉽게 보안점검용 질문에 답을 찾아낼 수 있는지를 조사했다.
조사 결과, 세 번까지 오류를 범할 수 있는 기회를 줄 경우 공격자는 80명의 이메일 계정에 대해 정답을 찾아내는 데 성공했다.
보노 교수는 "1학년 때 담임 선생님 이름이 무엇이냐는 질문을 만들어 놓는 경우가 있다"면서 "그러나 문제는 스미스라는 이름을 가진 선생님들이 수없이 많다는 점"이라고 지적했다.
전문가들은 웹메일 제공업체들이 이메일의 비밀번호 변경을 허용할 때 질문을 하나가 아닌 세 개로 늘리는 아주 간단한 수고만으로도 범죄자들의 접근을 차단할 수 있다고 강조했다.
