‘어… 여기 암호가 뭐였지?’
가입한 사이트의 암호들, 잘 기억하고 계시나요? 저도 암호 때문에 스트레스를 받는 사람 중 한 명입니다. 따로 암호 관리 프로그램을 쓰고 있지만, 이게 또 완벽하지는 않아서 로그인 창 앞에서 가끔 멈칫하게 되는 건 어쩔 수 없는 것 같습니다. 거기다 가입한 사이트에서 개인정보를 해킹당하는 일도 예사로 당하다 보니 전국민 개인정보가 다 털렸다는 이야기도 크게 과장은 아니겠습니다. 이제는 이중 인증도 안전하지 않다고 하고, 실제로 A라는 사이트를 해킹해서 사용자 정보를 입수한 다음에 B 사이트에 로그인을 시도하는 수법이 지금도 성행하고 있습니다. 사이트마다 다른 암호를 쓰라고하는데 그게 어디 쉬운 일이던가요. 그래서 이 규칙을 고안해 낸 보안 전문가도 후회하고 있다고 하더군요. 다행히 새로운 웹 사이트 로그인 방법인 WebAuthn(Web Authentication)이 표준으로 채택되었으나, 자리를 잡으려면 아직 시간이 좀 걸릴 것으로 보입니다. 
좋든 싫든 앞으로도 한동안은 암호와 부대끼며 살아야 할 텐데요, 이럴 때 구글에서 공개한 Password Checkup이라는 크롬 확장 프로그램이 조금이나마 도움이 되지 않을까 합니다. 그동안 암호가 취약하다고 판단(예: 연속된 숫자, 간단한 영단어)되면 알려주는 프로그램이나 내 계정 정보가 탈취되었는지 알아보는 사이트(Hasso Plattner Institute, have i been pwned?)는 있었지만, 이번에 나온 Password Checkup처럼 유출된 사용자 이름과 암호를 실시간으로 대조하여 알려주는 프로그램은 처음입니다. 구글은 지난 수년 동안 보안 사고로 유출된 계정 정보 40억 건 이상을 데이터베이스로 만들었는데, 크롬 브라우저 사용자가 로그인 양식에 아이디와 암호를 입력하면 이를 조합하여 과거의 보안 사고 이력과 대조하는 식입니다. 만약 예전에 노출된 사용자 이름과 암호를 사용하고 있다면 사용자에게 경고로 알리고 암호를 바로 바꿀 수 있게 되어 있지요. 이쯤되면 “구글에서 내가 입력하는 암호를 수집하지 않나요?” 같은 의문을 품을 수 있겠는데요. 구글에서는 스탠퍼드 대학 암호 전문가와 협력하여 개인정보 보호에 각별히 신경을 썼다고 합니다. 구글이 나쁜 마음을 먹었다면 저는 이미 예전에 다 끝났을 거예요… :cry: 구글 말을 믿고 한번 써 보도록 하겠습니다.
설치는 아래 주소에서 다른 크롬 브라우저 확장 프로그램처럼 설치하시면 됩니다. (크롬 브라우저에서 확장 프로그램을 설치하는 방법은 이 포스트를 참조해 주십시오.)
https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
설치하고나서 따로 하실 일은 없습니다. 평소처럼 크롬을 사용하시면 되겠습니다. Password Checkup이 다른 프로그램보다 뛰어난 점은 아직 보안 사고가 발생하지 않은 사이트에서도 사용자가 사전에 조처를 할 수 있다는 점입니다. 구글에서 사이트 호환성이나 사용자 이름, 암호 양식 인식도를 계속 개선해 나간다고 하니 이참에 한번 깔아두시면 앞으로도 개인정보를 보호하시는 데 보탬이 될 것으로 생각합니다.
