패스워드 및 계정 관리 : 가급적 로그인 정보 저장하지 않기

※ 본 자료는 교육용 PPT 제작을 위해 만든 내용을 일부 공개한 것으로 저작권은 저 Kinesis 에게 있으며 무단 배포를 자제하여 주시기 바랍니다. 필요한 경우에는 이 글의 Link를 공유해 주시면 감사드리겠습니다.

※ 본 자료에서 제공하는 실습파일을 악용하여 발생하는 피해에 대해서는 저는 일절 책임지지 않습니다. (실습파일을 이용하는데 있어서의 주의사항은 본문에 명시하고 경고하고 있습니다.)

실습파일 : 

Tools.zip

내용은 패스워드(Passowrd)를 무분별히 저장하는 것에 대해 다루고 있으나 계정정보^[각주:1]도 함께 다루어지므로 패스워드(Password) 및 계정 관리로 분류되었으며, 골자는 정말 필요한 경우가 아니라면 로그인 정보(Login Information)를 저장하지 않는 것에 초점을 두고 있으며 현실적으로 패스워드(Password)를 무작정 저장하지 않고 사용할 수는 없음에 대비해 일부 대처를 위한 방법을 마지막에 제안하고 있습니다.

슬라이드가 많은 것 처럼 보일 수 있으나 이미지 위주로 짧은 설명을 포함하고 있어 실제 내용은 그리 많지 않습니다.

이 글은 여러분에게 약간의 충격을 드릴 수 있을 겁니다. 위험성을 모르는 채로 무분별하게 패스워드(Password)를 저장하고 있는 분들이라면 더욱 말이죠.

왜 충격적인가 하면 여러분들이 저장해 두었던 아이디(ID), 패스워드(Password)가 실습을 통해 여러분의 눈에 보여지게 될 것이기 때문입니다. 따라서 여러분이 저장해둔 아이디(ID) 및 패스워드(Password)를 확인하기 위해서는 먼저 제공해드린 실습 파일이 필요합니다. 준비하셨지요?

단 실습 등 내용을 진행하기에 앞서 주의해야 할 사항이 있으니 실습 파일을 악용해서는 안된다는 것 입니다. 스스로 보안적인 문제나 이슈등을 확인하기 위한 정당한 목적 외의 악의적 목적의 사용이나 제 3자에게 허가되지 않은 피해를 발생시키는 것은 범죄행위로 자칫 경우에 따라 법적 책임 및 제제를 받을 수 있음을 염두에 두시고 주의하셔야 합니다.

자, 이제 질문을 몇가지 해보고자 합니다. 여러분은 몇 개의 패스워드(Password)를 기억하고 계십니까? 일반적으로 사람들은 약 3가지 정도의 패스워드(Password)를 기억하고 있다고 합니다.

그러나 기억해야 할 패스워드(Password)가 어떠한 목적이나 사유로 인해서 많아진다면 어떻게 하시나요? 보통은 포스트잇(Post It)이나 메모장 등에 기록을 할 겁니다.

그런데 만약 여러분이 기록해둔 패스워드(Password)를 자신이 아닌 제 3자가 본다면 어떨까요? 그 아이디(ID)와 패스워드(Password)는 안전하다고 할 수 있을까요?

그런데 앞서 확인했듯이 사람들이 기억하고 주로 사용하는 패스워드(Password)는 약 3가지 정도 입니다. 따라서 약 3가지 정도의 패스워드(Password)가 노출이 된다면? 여러분의 계정정보는 여러분이 가입한 대부분의 사이트에서 이용이 가능해질 것 입니다. 즉 더 이상 여러분만의 패스워드(Password)가 아니게 되는 것이죠.

여러분이 웹 사이트를 이용하는 경우를 가지고 살펴보도록 합시다. 여러분들은 다양한 브라우저 즉, 인터넷 익스플로러(Internet Explorer), 구글의 크롬 브라우저(Google, Chrome Browser), 모질라재단의 파이어폭스(Mozilla, FireFox Browser) 등 중 자주 사용하는 브라우저를 통해 로그인이 필요한 웹사이트에 접속을 할 것이고, 아이디(ID) 및 패스워드(Password)를 입력한 후 로그인 버튼을 클릭할 것입니다.

그러면 만약 여러분이 처음 로그인을 한 사이트라고 가정한다면, 패스워드(Password)를 저장할 것인지를 묻는 메시지를 확인할 수 있을 것입니다. 그러면 여러분은 어떤 답을 선택하시나요? 아참, 여기서 참고할 사항으로 패스워드를 묻는 창은 브라우저마다 약간씩 다른데 3가지 정도 살펴보도록 하겠습니다.

인터넷 익스플로러(Internet Explorer)의 경우 로그인을하고나면 하단에 패스워드(Password)를 저장할 것인지 묻는 창이 나타납니다.

구글의 크롬(Google, Chrome Browser)의 경우 우측 상단에서 저장 여부를 묻습니다.

모질라 재단의 파이어폭스(Mozilla, Firefox Browser)의 경우 좌측 상단에서 묻는 창이 나타납니다.

자, 그럼 여러분이 만약 패스워드를 저장한다고 가정했을때, 여러분은 패스워드(Password)를 저장하는 경우에 대한 기준이 있나요? 바로 개인이 사용하는 컴퓨터(Computer) 또는 디바이스(Device)^[각주:2]에는 개인 계정만 보관하고 업무를 위해 사용하는 컴퓨터(Computer)나 디바이스(Device)에는 업무용 계정만을 저장한다는 등의 기준말이죠.

만약 이러한 기준 없이 무분별하게 저장을 하고 있고 그로인해 자신의 정보가 노출될 수 있는 환경에 있다면 그 정보는 더이상 않다는 것을 여러분은 아셔야 합니다. 업무를 해보신 분들은 아시겠지만, 업무용 컴퓨터(Computer) 또는 디바이스(Device)는 업무상 자신의 의도와는 다르게 다른 사용자가 사용해서 업무상 작성된 자료 등을 살펴봐야 할 일이 발생하기 때문입니다.

백문이 불여일견(百聞不如一見), 백견이 불여일행(百見不如一行)^[각주:3]이라고 실습을 통해 자신이 사용하고 있는 컴퓨터에 저장되어 있는 아이디 및 패스워드를 살펴봅시다. 이 과정을 통해서 여러분들의 계정관리 실태를 살펴보며 반성의 시간을 갖을수도 있겟습니다.

앞서 실습을 위해 제공된 파일을 "현재 폴더에 압축 풀기" 또는 "여기에 압축 풀기"로 풀어주세요.

자, 그러면 압축파일을 풀기 위해 암호를 입력하라는 메시지창이 나타날 것입니다. 여기에 제가 알려드린 암호(BrowserPassword)를 입력해서 압축을 풀어주시면 되겠습니다. 

※ 기억하세요! 정당한 목적 외의 악의적 목적의 사용이나 제 3자에게 허가되지 않은 피해를 발생시키는 것은 범죄행위로 자칫 경우에 따라 법적 책임 및 제제를 받을 수 있음을 염두에 두시고 주의하셔야 합니다.

압축이 풀리고나면 "Tools" 라는 폴더가 생성되었을 겁니다. "Tools" 폴더를 더블클릭하여 열어줍니다.

폴더 안에 보면 Exe 파일이 존하는데, 이 파일을 더블클릭 하여 실행하거나 특정 브라우저에 저장된 패스워드만 보고 싶은 경우에는 각 브라우저 이름으로 분류된 폴더 안에 존재하는 Exe 파일을 더블클릭하여 실행하여 줍니다.

프로그램이 실행되고 나서 컴퓨터에 저장되어 있는 패스워드가 존재한다면 이처럼 URL과 아이디(ID), 패스워드(Password)가 나타날 겁니다. 암호화되지 않은 평문^[각주:4]으로 여러분의 눈 앞에 보여질 것 입니다.

자 그럼, 처음에 시작하면서 말했던 것을 다시 떠올려 볼까요? 만약 여러분의 업무 컴퓨터에 개인계정정보를 저장해둔 경우 직장동료나 다른 제 3자가 이러한 방식으로 저장된 계정정보를 수집하여 간다면? 또는 여러분이 개인적으로 사용하는 컴퓨터를 누군가가 쓴다고 하면서 사용하는 과정에 이러한 정보를 수집해 간다면?

여러분이 저장한 모든 계정정보는 제 3자에게 넘어갈 수 있다는 것입니다.

그럼 마무리를 해볼까요? 이러한 경우에 대비하기 위해서는 어떠한 행동규칙이나 조치가 필요할까요?

첫번재로 나의 개인적인 계정 정보는 나만 사용하는 개인용 컴퓨터나 디바이스에서만 저장 및 보관하도록 합니다.

두번째로 정말 중요한 계정 정보는 가급적 저장하지 않고 머릿속에서만 보관해 두도록 합니다.

세번째로 자리를 배워야하는 경우는 패스워드가 걸린 잠금화면 등의 조치를 취해 아무나 접근할 수 없도록 합니다.

모든 경우에 대비할 수 있다고는 할 수 없으나 이정도라도 신경을 쓴다면 노출이 되는 가능성은 조금 더 낮출 수 있을 것 입니다.

( 슬라이드에 담지 않은 TIP 은 강의시 공개하는 용도로 생략합니다. )

감사합니다.

1. ID 와 Password가 같이 다루어지므로 계정정보라고 할 수 있습니다. [본문으로]
2. 디바이스(Device)란 장비 또는 기기를 말하는데, 여기서 사용한 의미는 컴퓨터 기반의 노트북, 테블릿, 핸드폰 등의 모든 장비를 의미합니다. [본문으로]
3. 백문불여일견(百聞不如一見), 백견불여일행(百見不如一行) : 백번 듣는 것이 한번 보는 것만 못하고, 백번 보는 것이 한번 행하니만 못하다. [본문으로]
4. 식별할 수 없도록 조치된 암호화나 * 또는 ● 등으로 마스킹 처리 되지 않은 일반 텍스트 문자를 평문이라고 합니다. [본문으로]