암호 사용시 유의사항

대부분의 사람들이 컴퓨터 암호를 똑 같이 설정하고 있기 때문이다. 설사 다르게 설정했다고 해도 이런 암호 중 하나를 G메일의 암호로 사용할 가능성이 많기 때문이다. 따라서 컴퓨터를 사용할 때 들여야할 습관 중 하나는 "컴퓨터에 암호 자체를 저장하지 않는 것"이다. 나는 컴퓨터에 암호를 저장하지 않는다. 크롬 자동 로그인 기능을 문제 삼은 것도 저장된 암호를 암호화하지 않고 저장했기 때문이다. 따라서 이런 일이 발생하지 않도록 하려면 다음 사항을 꼭 지키는 것이 좋다.

검찰의 G메일 압수수색?

오늘 트위터(Twitter)에 구글 ‘지메일’ 내용도 검찰이 입수했다라는 글이 올라왔다. 서울신문 사회부 정은주 기자자신의 블로그에 올린 글이다. 일단 이 글에서 확인할 수 있는 내용은 다음과 같다.

  • 서울중앙지검 공안1부는 28일 간첩혐의로 김씨를 구속기소.
  • 검찰: (구글의 메인 서버를) 압수수색한 것은 아니며 입수 방법은 알려줄 수 없다.
  • 구글: 본사가 관리하는 지메일을 입수하려면 한미 형사사법공조 조약에 따라 한국 법원은 물론 법원의 압수수색 영장까지 필요하다.
  • 구글: 그 압수수색 영장이 있더라도 1년 6개월간의 이메일 내용을 전부 수사기관에 넘기는 일은 매우 이례적

검찰이 구글 서버를 압수 수색하지 않고 1년 6개월간의 메일을 전부 압수할 수 있느냐는 것이다. 얼핏 생각하면 불가능할 것 같다. 그러나 컴퓨터에 대해 조금만 알고 있다면 '얼마든지 가능하다'. 그 이유는 많은 사람들이 습관적으로 '암호를 자신의 컴퓨터에 저장'하기 때문이다. 쉬운 이야기로 검찰이 "구속된 김씨의 컴퓨터를 압수할 수 있다"면 얼마든지 가능하다.

일단 암호가 컴퓨터에 어떻게 저장되는지 생각해 보자. 컴퓨터암호는 '로그인할 때 사용하는 암호', 아웃룩과 같은 '클라이언트에 의해 저장되는 암호', '웹 사이트 자동 로그인에 의해 저장되는 암호'가 있다. 중요한 것은 이런 암호 모두 아주 쉽게 알아 낼 수 있다는 점이다.

너무 쉽게 깨지는 암호

먼저 클라이언트에 저장되는 암호를 보자. 이런 클라이언트에 저장되는 암호는 그 특성상 양방향 암호화[1]를 사용한다. 그 이유는 암호 문자열을 암호화해서 저장한다고 해도 자동으로 로그인하려고 하면 암호화된 문자열을 다시 원래의 암호로 바꿔야 하기 때문이다.

다음 그림은 QAOS.com에 올린 각종 프로그램의 암호를 복구할 수 있는 Asterisk Logger라는 글과 관리자(Administrator) 암호 알아내기라는 글에서 가져온 그림이다. 먼저 첫번째 그림을 보자. 아웃룩에 저장된 모든 암호는 프로그램만 실행하면 바로 알아 낼 수 있다. 따로 해킹과 같은 작업을 할 필요도 없다.


그림 1. 아웃룩에 저장된 암호 복원

두번째 그림을 보면 알 수 있지만 아웃룩과 같은 특정 프로그램이 아니라고 해도 암호를 알아 낼 수 있다. 다만 실행하는 프로그램만 바꾸면 된다.


그림 2. 암호 복원

마지막 그림을 보면 알 수 있지만 Asterisk Logger을 실행한 뒤 특정 프로그램을 실행하면 그 프로그램에 저장된 암호가 그대로 노출된다.


그림 3. 노출된 프로그램 암호

그러면 웹 사이트에 저장된 암호는 어떨까? 예전에 에 대한 글을 올리면서 크롬이 웹 사이트의 암호를 보여 주는 것에 대해 심각한 우려를 표시한 적이 있다. 크롬(Chrome)과 불여우(Firefox)의 자동 로그인 기능을 사용하면 다른 프로그램이 없어도 저장된 암호를 바로 확인할 수 있다. 이 것은 인터넷 탐색기나 다른 자동 로그인 프로그램도 마찬가지다. 위에 설명한 Asterisk Logger를 이용하면 얼마든지 가능하다.

마지막으로 컴퓨터의 로그인 암호이다. 그러나 컴퓨터의 로그인 암호도 상당히 쉽게 깨진다. 관리자(Administrator) 암호 알아내기라는 글에서 설명했듯이 암호를 저장하는 SAM 파일만 있으면 얼마든지 알아 낼 수 있다. 또 SAMInside라는 프로그램을 이용하면 영어로만 구성된 8자의 암호는 내 컴퓨터(쿼드 CPU)로 두시간 정도면 알아 낼 수 있다.

즉, '컴퓨터에 저장된 모든 암호는 아주 간단히 알아 낼 수 있다'는 점이다. 그런데 더 중요한 것은 많은 사람들이 이렇게 '저장된 암호가 안전한 것으로 알고 자동 로그인처럼 암호를 저장하는 프로그램을 애용한다'는 점이다. 이렇게 컴퓨터에 저장된 암호 중 G메일(Gmail) 계정의 암호가 없으라는 보장은 없다. 설사 컴퓨터에 저장된 암호 중에 G메일 계정의 암호가 없다고 해도 컴퓨터에 저장된 암호를 이용해서 로그인을 시도해 보면 G메일 계정의 암호를 찾을 수 있다.

암호 사용시 유의사항

대부분의 사람들이 컴퓨터 암호를 똑 같이 설정하고 있기 때문이다. 설사 다르게 설정했다고 해도 이런 암호 중 하나를 G메일의 암호로 사용할 가능성이 많기 때문이다. 따라서 컴퓨터를 사용할 때 들여야할 습관 중 하나는 컴퓨터에 암호 자체를 저장하지 않는 것이다. 나는 컴퓨터에 암호를 저장하지 않는다. 크롬의 자동 로그인 기능을 문제 삼은 것도 저장된 암호를 암호화하지 않고 저장했기 때문이다. 따라서 이런 일이 발생하지 않도록 하려면 다음 사항을 꼭 지키는 것이 좋다.

  1. 복잡한 암호를 사용
    복잡하면 기억하기 힘들고 단순하면 깨기 쉽다. 따라서 첫번째 보안 권고를 참조해서 기억하기 쉽고 유추하기 어려운 암호를 사용하는 것이 좋다.
  2. 암호를 저장하지 않음
    컴퓨터에 암호를 저장하지 않는 것이 좋다. 자동 로그인을 사용하는 클라이언트 보다는 사이트를 직접 방문해서 작업을 하는 것이 좋다. 자동 로그인을 사용하고 싶다면 자동 로그인을 사용하는 사이트와 중요한 사이트의 암호는 분리하는 것이 좋다.
  3. 컴퓨터 암호와 웹 사이트 암호 분리
    로그인 암호와 웹 사이트에서 서로 다른 암호를 사용한다. 앞에서 설명했지만 컴퓨터에 저장된 암호는 성능 좋은 컴퓨터만 있다면 쉽게 알아 낼 수 있기 때문이다.
  4. 양방향 암호화를 사용하는 사이트 가입 금지
    웹 사이트 중 암호를 양방향으로 암호화 해서 저장하거나 암호화 하지 않는 사이트는 이용하지 않는다. 양방향 암호를 사용하는지 아닌지는 암호를 복구하는 절차를 보면 된다. '양방향 암호화를 사용하는 사이트'는 암호를 복구할 때 이전에 입력한 암호를 정확히 알려준다. 반면에 단방향 암호화를 사용하는 사이트는 암호를 초기화 한다.

    행안부의 G-Pin 사이트

이런 사이트 중 가장 대표적인 사이트는 바로 행안부에서 운영하는 G-Pin 사이트이다. 이 사이트는 암호를 평문으로 저장하고 저장된 암호를 화면에 바로 뿌려준다.

그러나 설사 이렇게 한다고 해도 검찰에서 G메일의 내용을 압수할 수 있다. 예를들어 나는 컴퓨터에 암호를 저장하지 않는다. 그러나 내가 사용하는 암호는 내가 가입한 사이트에는 저장되어 있다. 즉, 내가 옥션에 가입한 것을 안 검찰이 옥션에 암호를 요구하면 역시 내 암호가 유출될 수 있다는 점이다. 옥션에서 설사 암호를 단방향 암호화 해서 저장한다고 해도 성능 좋은 컴퓨터라면 이 암호도 쉽게 알아 낼 수 있다.

따라서 검찰의 힘이 미치는 사이트의 암호와 미치지 못하는 사이트의 암호를 서로 다르게 사용하는 것이 최선이다. 지은 죄가 없는 사람이라고 해도 검찰이 압수한 메일로 어떻게 왜곡할지 모르기 때문에 이렇게 하는 것이 좋다. 실제 나는 국내 웹 사이트에서 사용하는 암호와 내 G메일 암호는 서로 다르다.

관련 글타래


  1. 암호화된 문자열로 원래의 암호를 알아낼 수 있는 암호화를 말한다. 
글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
2009/08/29 14:36 2009/08/29 14:36
오늘의 글
인기있는 글
조회수 많은 글 | 베오베
댓글 많은 글 | 베오베

Trackback

Trackback Address :: https://offree.net/trackback/2729

  1. Subject : 구글 지메일 압수수색?? 시국선언 교사 이메일도 압수수색!!

    Tracked from Green Monkey Blog** 2009/08/29 16:40 del.

    구글 지메일 압수수색?? 시국선언 교사 이메일도 압수수색!! 공안당국의 집요한 이메일 압수수색, 이젠 이메일은 버려라!! * 구글 지메일 간첩사건?? 검찰 구글 본사도 압수수색?? 28일 서울신문?

  2. Subject : 검찰이 구글 ‘지메일’ 내용도 입수했다

    Tracked from 오늘을 증언한다 2009/08/29 16:56 del.

    미국 구글 본사의 모습. 검찰이 구글의 이메일 서비스인 ‘지메일’간에 오고간 이메일 내용을 입수해 해외사업가 김모(45)씨를 국가보안법 위반으로 기소했습니다. 이메일 확보 등 수사는 국?

  3. Subject : 추측, 지메일 압수 당했던 방법

    Tracked from Minkee.net 2009/08/29 18:37 del.

    범인은 잡아야 되는게 맞지만요. 최근에 검찰이 지메일도 열람 했다는 것을 보면 개인 사생활 문제가 다시 걱정되기 시작합니다. 검찰이 그렇게 힘이 막강해서 구글 본사에서 협조를 받았느냐

  4. Subject : 검찰이 구글 지메일을 털었다? 말이 안 되는 소리를-_-

    Tracked from 시답잖은 지식과 개똥철학 2009/08/30 07:23 del.

    서울뉴스발로 구글 지메일 압수수색 논란이라는 기사가 떴나본데, 말이 안 되는 소리가 너무 많은데 동요하는 사람이 적지않은 것 같아서 적당히 쓴다. 1. 우리 나라는 그래도 세계 13위권(최근?

  5. Subject : 검찰의 오만방자함이 끝이없다

    Tracked from 뒷골목인터넷세상 2009/08/30 10:26 del.

    한때 큰형님, 삼성의 구린내를 닦아주느라 정신이 없던 검찰이 오늘 호가호위로 돌아섰다. 섬겨야할 국민에게 어쩌면 이렇게 오만방자할 수 있단 말인가! 검찰은 국민의 충복의 시녀기관일 뿐?

Facebook

Comments

  1. 럭스구구 2009/08/29 14:55

    ^^;

    비밀번호를 너무 쉽게 알아내는 군요 ^^;

    도아님 덕분에 암호도 중요도에 따라 다르게 사용하기는 하지만

    아직도 많이 부족한 것 같습니다.

    언제나 좋은 정보 감사합니다.

    perm. |  mod/del. reply.
    • 도아 2009/08/29 15:45

      저장 안하는 것이 최선입니다. 저는 조금 복잡해도 다 머리속에만 담아 둡니다.

  2. 윤초딩 2009/08/29 15:20

    궁금한게 있는데요. 그럼 그렇게 수집한 증거는 법정에서 증거로 사용할수가 있나요?
    영화나 미드보면 불법적으로 수집한 자료는 증거로 채택이 안되던데
    현실에서 그러니까 한국에서는 그런 증거를 법정에서 증거로 효력이 있는것인가요?

    perm. |  mod/del. reply.
    • Kael H. 2009/08/29 15:36

      물론 우리나라도 안됩니다.
      김태환 제주지사가 작년에 당선무효 위기를 무죄로 넘긴 것도

      검찰이 압수수색 범위가 아닌 곳에서 압수수색 한 증거물을 제출했다 거부당했기 때문입니다.

      허나, 그 증거가 수사범위가 아닌 곳에서 이루어 졌다는 <물증>을 입증해야 합니다.
      김태환 제주지사는 제주도청 CCTV를 증거물로 냈고, 그 증거물을 통해 증거불충분(무죄)판결을 받았습니다.

      허나, GMail같은 경우는 불법적으로 수사했다는 냄새가 나더라도 입증할 길이 막막하기 때문에
      현실적으로 막기가 어렵다는 것입니다.
      (저는 증거의 효력에 관한 점을 "역전재판"이라는 게임을 통해 배웠지요.. 변호인 입장에서 피고인 빼내기 말이죠...)

    • 도아 2009/08/29 15:46

      어느 나라나 되지 않습니다. 그러나 Kael H.님의 이야기처럼 불법임을 증명하는 것이 힘들다고 봅니다.

  3. Kael H. 2009/08/29 15:36

    가장 간단한 해결책은 자기 정보를 매일매일 지우는 것이죠...

    perm. |  mod/del. reply.
    • 도아 2009/08/29 15:47

      그것도 힘들죠. 스파이가 아니라면요. 암호도 다 저장하는 사람에게는 불가능에 가깝고요.

  4. rice 2009/08/29 16:31

    그렇다면 roboform 같은 개인정보 프로그램 같은 것도 위험 할까요?? 이것 역시 컴퓨터에 저장 하는 것이니...어떤지...

    perm. |  mod/del. reply.
    • 도아 2009/08/29 17:13

      로보폼은 사용하지 않지만 로보폼도 양방향 암호화로 저장됩니다. 양방향 암호된 문자열은 아주 잠깐 사이에 복원할 수 있습니다.

    • dummy 2009/08/31 00:31

      그게 그대로 가지고 있던 암호화가 되어 있는지는 중요하지 않습니다.
      로보폼이단 알패스던 내가 입력해야할 패스워드를 그대로 간직하고 있다는것은 확실하지요. 그래야 로그인이 될테니까요.

  5. 꿈뱀파이어 2009/08/29 16:55

    제 기사(서울신문)와 블로그 글을 읽고 대안을 마련해 주셨군요.^^
    기사가 나간 후 검찰은 피고인 스스로가 이메일을 제출했다고 해명했습니다.
    그러나 범죄 증거를 스스로 제출했다는 게 선뜻 납득되지 않지요.
    법정에서 검찰과 피고인이 다투는 모습도 취재해 블로그 글에 올려려고 합니다.

    perm. |  mod/del. reply.
    • 도아 2009/08/29 17:14

      그 부분은 봤습니다. 그래서 트윗에 그 사람이 간첩이 아니면 모두 해결된다고 적은 것입니다. 다만 특히나 기자분들은 꼭 위의 방법으로 메일을 숨길 필요가 있습니다. 우리나라 검찰은 이미 검찰이기를 포기했으니까요.

  6. Q P 2009/08/29 17:16

    1. 복잡한 암호를 사용
    2. 암호를 저장하지 않음
    3. 컴퓨터 암호와 웹 사이트 암호 분리
    4. 양방향 암호화를 사용하는 사이트 가입 금지

    알고 했든 모르고 했든 위 4가지는 다 지키고 있고(사실 2번의 경우 자동로그인 전용 프로그램을 사용하긴 하지만 털려도 되는 사이트만 씁니다. 들어가봤자 제 주민등록번호도 없고, 이메일도 스팸 전용 계정인 곳들요.) 쿠키도 못 미더워 모든 브라우저들을 '종료시 쿠키 삭제' 옵션을 켜놓고 사용중입니다. 그런데

    검찰의 힘이 미치는 사이트의 암호와 미치지 못하는 사이트의 암호를 서로 다르게 사용하는 것

    이 부분은 미처 생각 못 했네요. 어차피 제가 검찰에서 메일을 뒤지고 싶을 만큼 중요한 위치에 있지도 않지만요. 국내 메일 계정과 G메일 계정의 비번이 똑같진 않고 제법 비슷한 편한데 색다른 비번을 고려해봐야 겠네요. 좋은 글 감사합니다.

    perm. |  mod/del. reply.
    • 도아 2009/08/29 18:26

      그래도 모를 일입니다. 우리나라 경찰이 김은희 PD의 메일을 그렇게 통채로 가져갈 것은 누구도 예상하지 못했으니까요. 이런 것을 보면 미리 미리 대비하는 것이 최선인 것 같습니다.

  7. 그별 2009/08/29 17:19

    정말 우리나라 검찰의 신뢰가 얼마나 땅에 떨어졌으면... 정말로 통탄스러울 뿐입니다.
    여하튼... 암호 관리는 잘 해야겠다는 생각입니다.
    언제 어떤 일들이 벌어질지 모르는 헤게모니의 세상을 살아가려면... 참으로... ㅉㅉ

    perm. |  mod/del. reply.
    • 도아 2009/08/29 18:27

      검찰이 아니라 견찰이 된지 오래니까요. 참 안타깝죠. 노무현 대통령 당시 검찰 독립을 이야가한 검새들은 지금 뭐하고 있는지 궁금하더군요.

  8. FLOYD 2009/08/29 19:06

    스마트폰을 이용하는 경우에는 메일 푸쉬서비스를 받게 되면 설정하는 중에 비밀번호를 입력하는 부분이 있는데
    난감합니다. sk에서 제공하는 서비스라서 전혀 믿고 쓸수가 없으니.. ㅡㅡ;;;;

    Gmail의 경우는 그런 서비스에서도 제외를 시켜야 할 것 같습니다.

    perm. |  mod/del. reply.
    • 도아 2009/08/30 11:13

      예... 서로 분리하는 방법외에 다른 방법은 없는 것 같습니다.

  9. 준인 2009/08/29 20:11

    흠 그럼 암호를 만들 때는 특수기호를 사용하면서 금융권, 이메일, 잡다한 사이트들 이렇게 나눠 놓는게 좋은 거군요.
    전 가입한데가 딱 5군데 인가 밖에 안되서;;;
    나머지는 아예 가입을 안하는 지라;;;ㅋ

    perm. |  mod/del. reply.
    • 도아 2009/09/08 14:59

      답변이 늦었습니다. 답글을 오늘에 발견했습니다. 가급적 방문하는 사이트의 보안 등급에 따라 암호를 나눠 사용하는 방식입니다.

  10. Vermond 2009/08/29 21:48

    저의 경우에는 암호식을 세워서 놉니다
    도아님 블로그에 댓글다는 것 같은 가벼운 것은 그냥 짧고 간편한 것을 쓰지만
    어느정도 애용하는 사이트는 암호식을 사용해서 하죠
    (뭐 제가 배운 입장이긴 합니다만...)

    암호식의 최고의 편리함은 역시
    암호식은 같아서 외우기 쉬워도
    암호까지 같지는 않아서 편리하다고 해야될까요...

    여담으로 특수문자를 넣으면 암호가 복잡해지고 뚫기 어려워진다고 하고
    또한 글자수 길수록 암호풀기가 어려워진다는 말에
    처음에 암호식에 특수문자 1개 이상 넣고 글자수는 12~15자를 하려고 했는데
    의외로 저 두가지가 걸리는 사이트가 많더군요
    (특히 특수문자가 암호에 사용될수 없는 사이트가....)

    perm. |  mod/del. reply.
    • 도아 2009/08/30 11:14

      본문의 링크를 보면 알 수 있지만 본문의 링크도 암호식을 만드는 방법을 설명한 것입니다. 다만 저는 세벌식을 사용하기 때문에 암호식은 사용하지 않습니다. 세벌식 자체가 여러 특수문자를 포함하기 때문입니다. 또 특수문자를 사용할 수 없는 사이트가 많죠. 그중 외환은행도 있습니다.

  11. 국가전복을 위한 좋은 정보네요 2009/08/29 22:48

    혹시 좌파정권이 집권했을 때 정권전복을 하거나 범죄조직을 위한 좋은 팁 감사합니다. 검찰은 견찰이니까요.

    perm. |  mod/del. reply.
    • 도아 2009/08/30 11:15

      다음에 망치질 할때 그쪽 머리를 빌려 써도 될까요? 칼은 사용하는 사람에 따라 달라지는 것입니다.

  12. 국가통치를 위한 좋은 정보네요. 2009/08/30 01:04

    혹시 민주 문민 정권이 다시 집권했을 때, 다음 절대 쥐박쥐 정권 같은 것에 이용당하는 견찰에 술수에 넘어가지 않기 위해서 알아 두면 좋은 팁 감사합니다. 칼은 날카롭고 위험 합니다. 그러나 쓰는데에 따라서 사람을 살리는 수술용도구가 될수 도 있고 사람을 죽이는 작업도구로도 쓰일 수 있습니다. 윗 글을 보니 예전에 한 현직 검사님이 한 신문에 '피의자가 됬을때' 대처 방법을 기재하다 옷을 벗었다고 회자되는 사건이 생각나는지 모르겠군요. 세일즈는 판매실적이듯이 견찰의 실적은 높은 검거율과 유죄판결 그리고 이후 상소여부입니다. 판매실적이 우수한 세일즈맨은 승진을 잘하듯이 권력기관의 조직원들도 실적이 좋으면 승진이 잘 되는 것이고. 적절한 법적견제와 힘의 균형이 없으면 이들은 권력의 칼로 이용당하는 것은 뻔한 일이 아닐까요? 결국은 우리에게 달려 있다고 생각합니다.

    perm. |  mod/del. reply.
    • 도아 2009/08/30 11:16

      예. 입법, 사법, 행정의 독립이 무너졌으니 스스로 고민하고 해결하는 방법외에 다른 방법은 없는 것 같습니다.

  13. 카인 2009/08/29 23:46

    전에 범민련 남측본부 사무실이 압수수색 당했는데 오늘 그쪽 사람중
    한분을 만났습니다. 정확이는 공안탄압에 관한 사례발표장 이었는데요.

    그분이 말씀하시길 국내 사이트는 100% 공안의 힘이 미치고 지메일도
    안심할수 없다는것 입니다. 집에서 지메일 대 지메일 사용해도 메일 내용이
    유출될수 있다고 했는데 아마도 컴퓨터 압수해서 분석후 암호를 알아내는
    것으로 설명한거 같고, 안전한 방법은 양측이 PC방에서 지메일 대 지메일
    통신을 말하시던데 어쩌다 국민들이 이런 압박에 시달려야 하는지 개탄
    스럽네요.

    어떤 이메일 이던지 암호가 유출되면 메일내용도 유출되는것이니 치명적이고요.
    워드로 내용을 작성하고 전문 암호화 프로그램으로 암호를 걸어서 보내는
    것이 안전할거 같네요. 제목도 내용을 유추할수 없는 제목을 달고요.

    perm. |  mod/del. reply.
    • 도아 2009/08/30 11:17

      본문에 있지만 G메일 자체가 불안한 것이 아닙니다. 그 정보를 교화하는 방법 중에 헛점이 나오는 것이니까요.

  14. 날자고도 2009/08/30 01:06

    2MB정권으로 인해서, 얼마나 보안헛점이 많은지(?) 공부하게 되네요..

    perm. |  mod/del. reply.
    • 도아 2009/08/30 11:17

      MB가 여러 가지로 국민교육은 확실히 시켜주는 것 같습니다.

  15. 짱양 2009/08/30 05:46

    눈팅만 하다가 오랫만에 글 남기네요,,ㅎ
    저도 저 기사 보고 어케 했을까 궁금햇는데,,
    역시 사용한 컴을 통해서 확보햇을 가능성이 젤 높군요,,
    저도 지멜 계정 암호 저장 안해야 겠네요,,;;;

    perm. |  mod/del. reply.
    • 도아 2009/08/30 11:17

      로컬에는 저장하지 않는 것이 가장 좋습니다.

  16. 무량수 2009/08/30 08:33

    결국 메일 내용이 유출은 메일 송수신간의 중간 인터셉트가 아니라 해당되는 사람의 컴퓨터가 되는 경우가 가장 많다라는 말이 되는 것이군요.

    후.. 많이 배우고 갑니다. 나름 집 컴퓨터는 안전하겠지 생각하고 있었는데, 굉장히 위험한 생각이었네요. ㅜㅜ

    perm. |  mod/del. reply.
    • 도아 2009/08/30 11:18

      중간에서 가로채거나 서버를 해킹하는 것은 그리 쉬운 일은 아닙니다. 따라서 유출되는 정보의 대부분은 사용자가 알게 모르게 유출하는 것이 대부분입니다.

  17. 지구벌레 2009/08/30 09:32

    이런 일도 생기는 군요..앞으로는 비밀번호 관리도 신경써서 해야겠네요..쩝..ㅡㅡ;.

    perm. |  mod/del. reply.
  18. 하아암 2009/08/30 14:21

    에구... 많이 배우고 갑니다.
    G-mail도 얼마전에 개통했는데. 이거 뭐... 단순하게 옮기고 말고의 문제가 아니군요. ㅠ-ㅠ;
    아, 복잡한 조합의 암호를 또 언제 생각해낼지;;

    perm. |  mod/del. reply.
    • 도아 2009/08/31 06:49

      본문의 링크에 좋은 암호를 쉽게 만드는 법에 대한 글도 있습니다.

  19. 누마루 2009/08/30 14:54

    파폭 부가기능 중에 라스트패스라는 암호관리 기능을 사용 중에 있습니다. 기본적으로 모든 사이트의 암호는 무작위로 생선한 암호를 사용해서 보안성은 높은 편이라고 생각하지만 라스트패스에 사용하는 마스터 암호를 알아내면 모든 사이트의 암호를 알아낼 수 있다는 치명적인 단점이 있습니다.

    https://lastpass.com/safety.phphttps://lastpass.com/safety.php

    이 사이트의 소개를 보면 미국 정부에서 일급문서에 사용되는 암호화 알고리즘과 같은 방법을 사용한다고 합니다. 도아님께서 보실 때 이 프로그램은 어느 정도로 보안성이 높다고 생각하십니까?

    perm. |  mod/del. reply.
    • 도아 2009/08/31 06:52

      좋은 암호화 알고리즘을 사용한다는 것은 깨는데 시간이 걸린다는 것 뿐이지 깨지지 않는다는 뜻이 아닙니다. 암호를 깰때 가장 확실한 방법은 무차별 공략입니다. 8자짜리 영어로만 되어 있는 암호에 모든 문자를 대입하는 방법으로 깰때 걸리는 시간은 두시간이 안됩니다. 특수문자가 포함되면 시간은 조금 더 길어지지만 성능이 좋은 컴퓨터나 CPU를 늘리면 시간을 확 줄일 수 있습니다. 따라서 로컬로 저장하는 방식 중 안전한 것은 없습니다.

  20. 학주니 2009/08/31 00:07

    뭐.. 이래나저래나 불안한 것은 어쩔 수 없는 듯 싶습니다.. -.-;

    perm. |  mod/del. reply.
    • 도아 2009/08/31 06:52

      예. 조심하는 것외에는 방법이 없습니다.

  21. 푸르메 2009/08/31 01:31

    저도 구글 크롬을 애용하는데, 자동 저장 기능에서 제 암호가 그대로 노출되는 것을 보고 깜짝 놀란 적이 있습니다. 그런데 유틸리티를 사용하면 다른 웹 브라이저도 큰 차이는 없었군요. 역시 편리한 것에는 독이 있나봅니다...

    perm. |  mod/del. reply.
    • 도아 2009/08/31 06:52

      예. 원래 보안은 안전과 편리를 바꾼 것입니다.

  22. 구차니 2009/08/31 11:09

    이번 정부에 이런건 참으로 감사하고 있습니다.
    사람들의 보안 의식을 마구마구 올려주는군요.

    perm. |  mod/del. reply.
    • 도아 2009/09/08 15:00

      예. 그런 셈이죠. MB가 다른 것은 몰라도 국민의식 개혁은 확실히 하는 것 같습니다.

  23. 종요 2009/08/31 15:23

    흥미로우면서도 무서운 내용입니다.
    오페라에서 자동로그인 기능과 메일클라이언트를 사용하고 있는데 모두 하드디스크에 비밀번호와 메일내용이 저장되니 사생활보호에 아주 취약하네요. 메일을 삭제할 때도 클라이언트 프로그램에서 삭제하지 말고 일전에 도아님이 포스팅하신 파일완전삭제프로그램을 사용해서 일일이 찾아가서 삭제해줘야 그나마 안전하겠네요. 그런데 이럴 바에는 사이트에 직접 로그인해서 메일 확인하는 게 낫겠네요.

    궁금한 것이 있습니다. 오페라 위젯 중에 패스워드 해시 위젯이 있더군요. 제가 입력한 마스터 비밀번호와 그 때 그 때 입력하는 특정변수를 조합해 패스워드만 생성해주더군요. 마스터비밀번호나 대입한 변수, 결과로 생성된 패스워드 일체가 하드에 저장되지도 않으니 마스터비밀번호는 머릿속에 넣어두고 그 때 그 때 넣어주는 변수는 일부 규칙성이 있더라도 (예를 들어 다음이라면 da, du, dnet / 네이버는 na,nv,ncom 등) 일체의 정보가 로컬에 저장되지 않으니 꽤 안전할 것 같다는 생각이 듭니다.
    마스터비밀번호는 머릿속에만 들어있고, 설사 누군가가 알더라도 추가 변수의 내용은 쉽게 파악할 수는 없을 것 같고요. 위에 누마루님이 말씀하신 라스트패스라는 것은 마스터비밀번호만 알면 다 알 수 있다고 하셨는데 이 경우는 다르지 않나요?

    도아님처럼 모든 패스워드를 다 머릿속에 넣어두면 좋겠지만 개인적으로 그건 무리인 것 같고, 개인적인 수준에서 패스워드를 관리할 때 기억력의 부담을 덜 수 있는 방법으로는 괜찮지 않은가요?

    perm. |  mod/del. reply.
    • 도아 2009/09/01 06:48

      오페라 위젯은 단순히 암호를 만들어 주는 프로그램이더군요. 따라서 다른 위험은 없습니다.

  24. 청야 2009/08/31 17:31

    좋은 정보 감사합니다.
    참 컴퓨터나 인터넷이란 걸 알면 알수록 참 복잡한 것 같으면서도 단순한 것 같습니다.
    특히 이렇게 비밀번호가 쉽게 알수 있으리라고는 생각도 못했습니다.

    perm. |  mod/del. reply.
    • 도아 2009/09/01 06:48

      저장되는 암호는 아주 쉽게 알 수 있습니다. 따라서 꼭 구분해서 사용해야 합니다.

  25. 이현우 2009/08/31 17:34

    저도 Gmail을 사용하는 입장에서 흥미로운 포스팅이 올라왔네요.
    도아님, 그렇다면 PGP나 Gpg4win같은 공개열쇠 방식 소프트웨어도 안전하지 않은건가요?

    perm. |  mod/del. reply.
    • 도아 2009/09/01 06:49

      서로 다릅니다. 공개키 암호화 방식은 데이타를 보낼 때 암호화하고 푸는 열쇠는 따로 보내기 때문에 이 열쇠를 도난 당하지 않는한 풀기 힘듭니다.

  26. 무애 2009/08/31 21:09

    포스트의 글과 카인님의 댓글을 보니까 비록 암호를 자신의 컴에 저장하지 않아도
    그 컴을 압수(?)해서 조사하면 알아낼 수 있다는 얘기인 둣 한데요... 맞나요?
    그럼 암호 어렵게 만들고 주의해서 쓴다고 해도 소용없는 일이 되는건가요?
    (제가 컴에 대해서 잘 몰라서요...)

    perm. |  mod/del. reply.
    • 도아 2009/09/01 06:49

      자기 컴에 저장하지 않으면 알아 내기 힘듭니다. 저장하기 때문에 발생하는 일이죠.

  27. 17茶 2009/09/01 17:37

    읽다보니 궁금한 점이 생겼어요
    만약 기소된 사람한테 비밀번호를 대라고 하면 거부할 권리가 있는 걸까요?
    아니면 압수된 PC의 비밀번호를 검찰이 해킹을 해서 알아내는 건 괜찮은 건가요?

    perm. |  mod/del. reply.
    • 도아 2009/09/02 09:08

      당연히 거부할 권리가 있습니다. 그리고 해킹해서 알아 낼 수는 있어도 증거로서 사용하기는 힘들 것이라고 생각합니다.

  28. 데굴대굴 2009/09/05 09:56

    제가 예전에 고민했던 부분이군요. 저는 제 나름데로 이 문제를 해결하고자 roboform portable을 사용하고 있습니다. usb를 분실하거나 뽑으면 바로 암호 입력은 모두 정지됩니다. 물론 모든 사이트의 암호는 다 다릅니다. 저 자신도 (터치 때문에) 제가 자주가는 곳만 몇 곳 외우고 있을 뿐, 난수조합으로 되어 있어서 외우는 것 (제 머리로는) 자체가 불가능합니다.

    도아님이 걱정하신 옥션이나 아이핀과 같은 포털에 암호를 요청한 경우가 문제가 될 수 있다는 생각에 가입된 곳을 감추는게 일이다라는 생각을 했고, 암호를 다 다르게 하는 것 뿐만 아니라 가입된 곳 최대한 알리지 않는 것이 좋다는 생각을 했습니다. 불행하게 roboform의 문제로 사이트마다 파일을 생성하더군요. 이 문제를 풀기 위해 usb를 통채로 truecraft로 암호화해서 갖고 다니고요...

    키보드 입력을 로깅하는 것을 막기위해 roboform을 사용하지만, roboform의 마스터 패스워드를 안다고해도, roboform가동을 위해서 truecraft의 암호를 알아야 하고, truecraft의 가동을 위해서는 제 usb를 입수해야하는 일련의 행동이 이뤄져야 하니까 제가 분실만 하지 않는다면 편하게 쓸 수 있겠다는 생각이 이뤄졌습니다.

    그래서....... 지금은 roboform 없이는 제가 제 정보를 접근하지 못합니다. 적어도 한국의 사이트들은 말이죠. -_-a (이게 가장 큰 부작용입니다)

    perm. |  mod/del. reply.
    • 도아 2009/09/06 12:48

      저는 모두 외우고 있습니다. 그래서 가끔 가는 사이트는 외우고 있는 암호를 모두 대입해 보곤 합니다. 물론 그래도 기억이 나지 않는 사이트도 있지만요.

  29. 허대수 2009/09/08 12:12

    제가 읽은 비밀번호 관리에 대한 글 중 가장 괜찮은 글이었습니다. ^^

    perm. |  mod/del. reply.
    • 도아 2009/09/08 15:01

      감사합니다. 그런데 오랜만이시군요.

    • 허대수 2009/09/08 15:57

      시간이 없어서 블로그를 요새 많이 못해요. 그래도 도아님 글은 꾸준히 읽고 있습니다. ^^ 댓글은 오랜만이지만요. 트위터도 구독하고 있다고요 ㅋ

    • 도아 2009/09/08 17:01

      예. 감사합니다. 블로그도 뜸하신 것 같아 드린 이야기였습니다.

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.