Michael Mullins ( TechRepublic ) 2006/02/03 
암호의 안전성은 암호에 대한 정책에 달렸다. 조직이 명문화된 암호 정책을 사용하고 이 정책을 강제하는 이유가 바로 그 때문이다. 마이크 뮬린스는 시큐리티 솔루션(Security Solutions) 이번 호에서, 효과적인 암호 정책을 만드는 방법에 관해 논의하고 튼튼하고 복잡한 암호를 만드는 요령을 제시했다.
대부분의 엔드 유저들은 기업 시스템이나 데이터를 보호하기 위해 암호를 사용하는 것이 중요하다고 알고는 있지만, 튼튼한 암호를 만드는 방법은 모르고 있다. 때문에 회사가 튼튼한 암호 정책을 만드는 것이 중요하다. 암호의 안정성은 암호에 대한 정책에 달렸다는 것을 기억하기 바란다.
기업의 ‘튼튼한 암호 정책’ 수립
기본적으로 윈도우는 기본 그룹 정책 객체(Default Domain Group Policy Object:GPO)와 워크스테이션 및 서버의 로컬 보안 정책이 비활성화돼 있다. 각 기관들이 명문화된 암호 정책을 사용하고 이 정책을 강제하는 이유가 바로 그 때문이다.
예를 들어, 컴퓨터의 암호 정책이 대소문자, 숫자, 특수문자와 같은 다른 복잡한 조합을 정하지 않은 채 단지 최소 6자리 글자로만 돼 있다고 하면, 매우 약한 암호 정책을 취하고 있는 것이다. 즉, 대부분의 유저들이 무차별 대입법(brute force)이나 사회 공학(social engineering)적 공격에 의해 쉽게 크랙될 수 있는 암호를 사용하고 있다는 것을 뜻한다.
.....
그러면 어떻게 해커들을 막을 만큼 복잡하고 기억하기 쉬운 암호를 만들 수 있을까? 내 동료 중 하나가, 복잡하지만 기억하기 쉬운 암호를 만드는 요령을 다음과 같이 제안했다.
1단계: 기본 단어를 하나 생각하자
애완동물의 이름과 같이 쉽게 기억할 수 있는 이름을 하나 생각하자. 예를 들어, 루이빌(Louisville)에 산다고 하면, 이 단어를 토대로 튼튼한 암호를 만드는 세부 사항들을 채울 수 있다.
적어도 한 개의 대문자와 한 개의 숫자 혹은 특수 문자를 사용해야 한다는 것을 기억하자.. 루이빌을 기본 단어로, i를 ! 혹은 1로 바꾸거나 s를 $로 바꾸면 Lou1$ville이나 L0u!$ville 과 같은 단어를 만들 수 있다.
2단계: 기본 단어에 몇 글자를 더 붙인다기본 단어에 아무 글자나 4글자를 붙이자.
3단계: 만들어진 암호를 저장한다.이제 기본단어를 실마리로 하여 4글자가 붙은 단어를 써보자. 위의 예를 이용하면, Lou1$ville이 1개의 1과 $를 가지고 있다는 뜻으로 city1을 그리고 여기에 4글자 xyza를 추가하면, city1xyza이란 단어를 만들어 낼 수 있다.
따라서 암호가 만들어진 후라도, 이 암호 생성 과정은 다른 사람들에게 들키지 않고 완성된 암호를 기억나도록 도와줄 것이다. (이 예제는 14글자 암호라는 것을 명심하자. 실제 필요한 암호는 더 길 수도 있지만, 기억하는 것은 더 쉬울 것이다.)
암호 정책은 기능을 활성화 시킬 때만 동작한다. 유저들이 종이쪽지에 적지 않아도 기억하기 쉬운 복잡한 암호를 만드는 방법을 가르쳐야 한다.@
***필자 소개***:
마이크 뮬린스는 미 재무부 비밀 검찰국과 국방부 정보시스템 계획국에서 네트워크 부관리자 겸 네트워크 보안 관리자로 일하고 있다. 현재는 STNO(Southern Theater Network Operations)과 시큐리티 센터의 운영 이사를 맡고 있다.