암호가 유출되는 일을 겪으신 분이 있다는 질게 글을 보고 생각나서 적읍니다.

저는 구글에다가 제 모든 암호를 저장하고 있읍니다.
그 이유는 여러가지가 있는데
일단은 구글은 그래도 뭔가 최소한의 보안 뭐시기 기술들을 갖추고 있을것이다 라는 신뢰입니다.

홍차넷을 예로 들어 말해보자면
기본적인 소양을 갖춘 프로그래머가 작성한 홈페이지라면
[암호를 암호화해서 보관]하게 되어있읍니다.
이것을 전문용어로 해시한다 라고 말합니다.
제 아이디가 dkdlel, 암호가 dkagh인데
dkdlel는 ID니까, 평문으로, 암호화하지 않고 저장하지만
dkagh를 암호화하지 않고 저장하게 되면
토비님이 제 아이디와 암호를 모두 아실수 있게 됩니다.
하지만 그렇게 되면 토비님이 제 아이디와 암호를 몰래 보신게 됩니다.
그렇게 되면 사이트 운영자와 회원간의 기본적인 신뢰가 깨지게 되겠죠.
사용자의 아이디와 비번을 무단으로 수집하신게 되니까요.
그래서 기본적인 소양을 갖춘 프로그래머가 작성한 홈페이지라면 암호를 평문으로 저장하지 않고
암호화(해시)를 해서 저장하게 되는데
MD5방법을 통해서 제 dkagh를 암호화하게 되면 E9CBAEBF48F60DF291946E26540FAABA가 되는데
(dkagh ===> MD5 ===> E9CBAEBF48F60DF291946E26540FAABA)
이 과정을 거친뒤 홍차넷 서버에는 dkagh가 아닌 E9CBAEBF48F60DF291946E26540FAABA가 저장되게 됩니다.

로그인을 할때는? 제가 dkdlel, dkagh를 입력하고
홍차넷 서버는 dkagh를 다시 MD5로 해시해서 E9CBAEBF48F60DF291946E26540FAABA를 얻은뒤에
회원가입할때 저장된 값(E9CBAEBF48F60DF291946E26540FAABA)과 비교해 보는 것입니다.
만약 제가 오타를 내서 dkagb라고 입력했다면 MD5해시하면 D813699E7D9AA9AE3A26A84E52F7C993가 나오게 되고
이 값은 저장된값과 다르므로 잘못된 암호가 입력되었음을 알수있고 그때는 로그인이 거부되는 것입니다.

그리고 제가 더 깊이 안들어가서 그렇지 사실은 이 해시과정도 무력화 할수 있는 여러 장치들이 있읍니다.
MD5방법으로 해시하는 것도 사실은 좀 보안이 허술하다고 할수 있는데
그 이유는 MD5해시는 너무 잘 알려진 해시 방법이라서 그렇읍니다.
보안을 제대로 하려면 알려지지 않은 해시 함수를 아예 하나 새로 짜서 하는것이 좋읍니다.
그런 제대로된 보안이 구글에는 있을것으로 막연히 기대하고 있읍니다.
구글은 세계에서 가장 비싼 소프트웨어 기업중 하나니까요.





아모튼 그렇기 때문에 구글에 암호를 몰빵해서 저장하고 있는 저는
이렇게 암호를 관리하고 있읍니다.

[1 대외용으로 사용하는 이메일과, 암호 관리용 지메일을 분리했읍니다.]
제 대외용 이메일은 karm*****@hotmail.com이고
암호 관리용 지메일 계정은 bjse****@gmail.com이읍니다.

karm*****@hotmail.com 계정은 윈도우즈 로그인 할때 사용하고
각종 사이트(홍차넷 포함)에서 이메일 주소를 요구할때 사용합니다.
대외용으로 사용하는 이메일은, 정말 누구나 알고 있읍니다.
카카오톡에 로그인할때 사용하는 이메일도 저 이메일 주소이고
네이버에 비밀번호 복구용 이메일 주소로 지정해놓은 주소도 저 이메일 주소이읍니다.
지마켓, 옥션, 쿠팡, 아마존, 넷플릭스, 사업 파트너 등등등등
제가 사용하는 모든 웹사이트들은, 제 이메일 주소를 karm*****@hotmail.com으로 알고 있읍니다.




[2 암호 관리용 지메일은 bjse****@gmail.com입니다.]
이 이메일 계정은 아무도 알지 못합니다.
카카오톡, 네이버, 지마켓 옥션 아무데서도 이 지메일 계정은 모릅니다.
오로지 저, 제 친 남동생, 가족들, 전여친들 정도만 알고있읍니다.

제가 암호를 몰빵한 지메일 계정 자체가 누구에게도 노출되지 않았기 때문에
해킹당할 위험이 매우 적읍니다.
(저 지메일 계정으로는 심지어는 스팸메일도 안날아옵니다. :)

이 지메일 계정은 딱 세군데에 자동 로그인이 걸려있읍니다.
제 집에서 사용하는 본체컴퓨터
업무용으로 사용하는 노트북
그리고 제 핸드폰 세군데 입니다.

컴퓨터 / 노트북 / 핸드폰 모두 제가 5분이상 사용하지 않으면 자동으로 잠깁니다.
이 컴퓨터들은 모두 암호를 입력하든, 패턴을 입력하든 해야 사용할수 있읍니다.



[3 저는 모든 웹사이트에서 구글 크롬이 '랜덤으로 생성해준 암호'를 사용합니다.]
예를들어, 제가 11번가에서 사용중인 암호는 Prvuu4j7aQ8bZEt 입니다.
저는 저 암호를 절대 기억하지 못합니다.
하지만 암호를 기억하지 못해도 괜찮읍니다.
왜냐하면 모든 암호는 구글이 기억해주고 있기 때문입니다.
제 핸드폰이나, 제 컴퓨터는 어차피 항상 암호가 걸려있으니
누가 제 컴퓨터를 제 허락없이 무단으로 사용할일이 거의 없어서 큰 문제가 없을뿐 아니라
누가 어쩌다가 얼핏 제 암호가 스크린에 노출된것을 본다해도
암호가 Prvuu4j7aQ8bZEt 같은 식으로 되어있으니 어쩌다 한번 보더라도 외울수가 없읍니다.



[4] 모든 웹사이트에서 랜덤 암호를 사용하기 때문에 얻는 또다른 장점은
[아이디를 타인과 공유할때 부담이 현저하게 줄어들었다는 것입니다.]
저는 지금 제 스포티비 계정을 제 동생과 공유하고 있는데
제 동생에게 스포티비 계정과 비번을 알려주는데 아무 부담이 없읍니다.
암호가 Prvuu4j7aQ8bZEt 요런 식이니까요.
모든 사이트에 암호가 다르기 때문에 동생에게 스포티비 계정의 암호를 알려줘도
딱 그 계정의 암호만 알려준것이 되읍니다.
다른 사이트의 암호들은 동생에게 전혀 노출되지 않을수 있었읍니다.
이전의 저라면 스포티비 암호가 핫메일, 지메일, 넷플릭스 할것없이 모두 같은 암호였을 것이기 때문에
스포티비 암호만 다른 것으로 변경한뒤에 동생에게 알려줘야했고
또 그 바뀐 암호를 잊지않고 기억하고 있어야 했읍니다. 매우 번거로웠읍니다.




[5] 물론 모든 사이트의 암호를 모두 다 구글보고 입력하라고하고 나는 딸깍, 만 시전할수는 없읍니다.
예를들어 카카오톡 데스크탑의 경우는 컴퓨터를 재부팅할때마다 암호를 매번 수동으로 입력해줘야하고
이 암호는 구글이 대신 입력해줄수 없읍니다.
게다가 구글이 생성해주는 랜덤 암호들은 Prvuu4j7aQ8bZEt 요런식이라
외우기가 어렵고 타이핑하기도 어렵읍니다.
그래서 [세개의 암호는 외워야 합니다.]
bjse****@gmail.com 의 암호 (모든 암호가 몰빵된 암호)
karm*****@hotmail.com 의 암호 (윈도우즈에 로그인할때도 같은 암호를 사용)
그리고 카카오톡 비밀번호, 이 세가지 임미다.



[6 구글이 털리면 ㅈ되는거 아닌가?]
네 그렇읍니다. 물론 구글이 털리면 저는 아마 모든 사이트의 암호를 바꿔야 할겁니다.
하지만 이 방법이 훨씬 부담이 적은 이유는
예전에는 페이스북 한군데만 털려도
구글 / 카카오 / 핫메일 / 킹차넷 암호를 같이 바꿔야 했지만
이제는 페이스북이 털려도, 페이스북 암호 한개만 바꾸면 됩니다.



[7] 그리고 이게 제일 큰 장점인데
[우리는 사실 모든 사이트에 같은 암호 한개 사용할수가 없읍니다.]

어떤 사이트는 암호를 꼭 9~16자리로 만들어야 합니다.
어떤 사이트는 암호를 8~15자리로 만들라고 합니다.
어떤 사이트는 암호에 특수문자, 숫자, 소문자, 대문자 중 세개를 꼭 사용하라고 합니다.
어떤 사이트는 암호에 대문자 한개 이상을 포함하라고 합니다.
어떤 사이트는 암호에 대소문자를 섞어 쓰지 말라고 합니다.
어떤 사이트는 암호에 특수문자를 넣으면 안된다고 합니다.

시발 뭘 어쩌란 말이냐......

그래서 매번 사이트에서 암호가 틀리다고 하면 고민을 합니다.
'여기 암호 끝자리에 1를 넣었던가? [dkagh1]'
'여기는 암호 끝에 1!를 넣었던가? [dkagh1!]'
'어 이것도 아닌가 그럼 [1A]를 넣었던가? [dkagh1A]'
'아 씌, 또 틀렸네, 그럼 아무것도 안넣었던가? [dkagh]'
'아 ㅈ되겠다. 5번 틀리면 안되는데... !가 A보다 앞에 오나?[1!A]인가? [dkagh1!A]'

아 5번 틀렸다..... 비밀번호 재설정 해야겠다.
다음에는 안잊어버리게 [dkagh1!]로 해야지 하고 입력했더니
시스템 메세지 : [특수문자 !는 사용하실수 없습니다.]
그 메세지를 보면 이제 기억이 남미다. 아 시발 [dkagh1!]가 아니고 [dkagh2@]였다. 맞다 기억나따 ㅅㅂ......





물론 이 방법이 장점만 있는 것은 아닙니다.
[A] 일단 '[모든 사이트의 비번을 한군데에 몰빵한다'는 것이 불안]할수 있읍니다.
하지만 모든 사이트의 비번을 한군데에 몰빵하는게
모든 사이트의 비번을 같은걸 쓰는 것보다는 나은 방법이다는게 제 결론이었읍니다. (6번 문단 참조)

그리고 두번째 불편함은 [B] 데스크탑의 [스팀 클라이언트, 디스코드 같은걸 로그인 할때]는
구글 크롬의 비밀번호 관리자에 다시 접속해서 암호를 직접 조회해보고 붙여넣어야 합니다.
하지만 그냥 '비밀번호를 적어놓는 에버노트다'하고 생각하기로 했읍니다...

세번째 불편함은 [C] 구글 크롬을 사용해서 웹사이트에 접속할때는 편하지만
[핸드폰(안드로이드)으로 옥션이나 쿠팡에 로그인 할때는 저장된 암호가 자동으로 팝업뜨지 않을때]가 있읍니다.
그럴때는 핸드폰으로 구글크롬을 켜고 그안에 비밀번호 관리자를 들어가서 그다음에 웹사이트 주소로 검색을 해보고 그다음에 암호를 복사해와야하고 그다음에 붙여넣기를 해야하고
하는 불편함이 조금은 있읍니다.
하지만 이 불편함은 7번문단의 귀찮음 보다는 훨씬 괜찮은 종류의 불편함이었읍니다.
'비밀번호 재설정하기'하면서 막 무슨
이름 / 전번 / 중간에 취소선이 그어져있는 다섯자리의 숫자 읽기 / 핸드폰으로 온 여섯자리의 숫자를 입력하기 보다는
구글크롬의 비밀번호관리자 접속이 편리했읍니다.

네번째 불편함은 [D] [남에게 설명(혹은 자랑질)이 어렵다]는 것입니다.
저는 사실 되게 편합니다. 그리고 이 방법이 만족스럽고요.
근데 남에게 이게 얼마나 편한지 설명하기가 좀 불편합니다.
타인과 만날때는 보통 핸드폰 하나만 달랑 들고 만나는데
누구나 핸드폰은 '자동로그인 상태'로 사용합니다.
그래서 핸드폰을 들고 '봐봐, 이거 진짜 편하겠지?'를 시연하기가 어렵읍니다.

이 기능이 사실 진가를 발휘할때는
[자주 안쓰던 해피포인트를 몇달만에 쓰려고 앱을 켰는데 로그인이 풀려있을때] 입니다.
암호를 기억하려고 애쓰지 않아도 자동 입력이 되니까 편합니다.
근데 내가 암호를 일일이 타이핑 하지않고 자동 입력이 되는광경을
상대방이 두눈을 말똥말똥 뜨고 내가 비밀번호를 타이핑 하는것을 매우 집중해서 보는것은
사실 대단한 실례로 여겨지기 때문에
타인에게 이 편리함을 은근슬쩍 흘리며 홍보하기가 쉽지 않읍니다.

진가를 발휘하는 또 다른 때는 데탑에서 옥션 / 지마켓 / 쿠팡 로그인할때 인데
그런건 보통 집에서 하니까 혼자 잇을때인 경우가 많고
만약 회사에서 옥션/ 지마켓 같은걸 로그인 한다 해도
이건 역시 월?루중이니까 역시 타인에게
'나의 이 쿨한 기능을 목도하고 어서 나에게 감탄과 칭찬을 늘어놓거라'
를 시전할수 없었을것 같읍니다... ㅋㅋㅋㅋㅋ



와 씌 이게 뭐라고 벌써 4300자여.......
이만 줄이겠읍니다.