보안에 대한 짧은 칼럼

익명 사용자의 이미지

흠...
리눅스에서 끌여다 붙이기가 안되네요...
그래서 파일로 첨부합니다.

익명 사용자의 이미지

좋은 글이군요.

그런데 보안의 90% 이상은 나를 포함한 사용자가 비밀번호를 제대로 관리하지 않는 데서 뚫리기 시작합니다. 가장 치명적이기도 하구요. 그런데 일반 컴퓨터 사용자에게 이 "비밀번호"를 인식시키는 것이 정말로 어렵습니다.

제가 관리하는 회사에서 사원이 입사를 하면 계정을 만들어주게 되죠.
일단 "아이디"가 무었이냐고 물으면 거기서 50% 는 아이디가 무었인지
되물어오고 설명을 해주고 아이디를 만들라구 하면 그중에 20%는 무의미한 (숫자, 영어단어의 나열등등..) 아이디를 만들어서 다시 교육을 시켜야 하는 짜증스러운 일이 반복됩니다.

나머지 50%중에서 "비밀번호"를 정하라고 하면 (이경우는 리눅스의 콘솔키를 주면서 직접치라고 합니다.) 90% 이상이 리눅스에서 점검하는 비밀번호 설정규칙을 피해가지 못합니다. 리눅스에서 토해내는 메세지를 보면서 3-4번의 기회를 주어도 그규칙을 통과하지 못하는 경우가 90% 중에 50% 가까이 됩니다.

결국은 제가 정해주지요. 그러면 그 비밀번호를 무자게 어려워 합니다.
언젠가는 타부서의 부장이 저에게 쫓아와서 난리친적도 있지요. 비밀번호 만료가 되어서 다시 비밀번호를 투입을 햇는데 왜 이렇게 복잡하냐? 같은거 또 쓰면 안되냐? 아무리 해킹당할 우려에 대하여 설명을 해도 도저히 이해하지를 못하는 경우도 있었습니다.

이러한 일반사용자들의 무관심과 무지도 문제지감 가장 중요한 관리자의 문제도 만만치 않습니다. 상당히 오래전에 게시판서비스를 해주면서 모업체의 대행을 해준적이 있습니다. 대 고객서비스 였기 때문에 중요도가 높았지요. 오랫동안 잘서비스가 되엇는데 어느날 아침 게시판의 자료가 모두 삭제되는 사고가 났습니다.

저희 프로그램의 로그에는 게시물을 운영자가 삭제한것으로 되어 있었는데 해당 운영자는 삭제한적이 없다고 주장했습니다. (물론 일부러 삭제를 했을리는 없었지요. 그것은 사고거나, 해킹당했다고 볼수밖에 없었습니다.) 그래서 도데체 비밀번호가 무었이었느냐고 물었더니... 으악!

달랑 "!" 뿐이었습니다. (이것은 비밀번호를 그것만 넣게한 우리측의 잘못도 인정하지 않을수 없었지만..) 그런데 더 황당한것은 해커가 그 비밀번호를 어떻게 알겠느냐? 계속 너희 시스템이 문제다 라고 벅벅 우겨대는 것이 었습니다. 으으......

뭐 1일치 정도를 제외하고는 복구를 했지만 컴퓨터를 좀 안다는 사람도 그모양이니 일반인들이야...

관리자는 좀 다른 정책의 비밀번호룰을 가지고 있어야 합니다. 제가 애용하는 방법은 다른사람의 관심을 가지지 않을 만한 허접한 영문책을 하나 고릅니다. 그리고 뒤에서 부터 문장중의 임의의 연속된 단어 두개를 이어서 표시를 해놓고 비밀번호로 사용합니다. 그 책은 제 자리의 사람들의 눈에 비교적 잘 안띄는 곳에 위치해 놓지요. 그리고 약 1개월 간격으로 그 책의 다른 페이지에서 추출하여 비밀번호를 표시해 가면서 (물론 일자도 적고) 사용합니다.

만일 제가 없을시에 문제가 발생하면 그책에 접근할 수 잇는 사람 (저와 같이 서버의 관리권한을 가진사람) 이 그 책을 보고 비밀번호를 알아서 필요한 작업을 수행하도록 합니다.

이방법은 저 본인을 대상으로 얻어지는 정보(성격,생일,전화번호등등)로 비밀번호를 유추할수 없습니다. 여러분도 활용해 보시기를...

- 겨울아이 -