무작위 비밀번호를 사용해야 한다는 사실은 이제 누구나 알고 있다. 하지만 실제로 그렇게 하는 사람은 많지 않다. 이미 이 원칙을 따르고 있다고 하더라도 온라인 보안 환경이 계속 바뀌고 있는 만큼 사용자는 지금보다 더 많은 보안 조치를 취할 수 있고, 실제로 그렇게 해야 할 필요도 있다.

모든 사이트에서 같은 사용자 이름을 반복해서 쓴다면 누군가가 계정 해킹을 시도하기가 훨씬 쉬워진다. 게다가 그 사용자 이름이 이메일 주소라면 상황은 더욱 심각해진다. 공격자는 사용자의 온라인 생활 전체를 장악하기 위해 어디를 노려야 할지 정확히 알게 된다.

하지만 무작위 비밀번호뿐 아니라 무작위 사용자 이름, 또는 이메일 마스킹까지 함께 사용하면 해커의 작업은 훨씬 어려워진다. 예를 들어, 계정이 존재하는지 확인하기 위해 비밀번호 재설정을 시도하는 크리덴셜 스터핑(credential stuffing) 공격을 무력화할 수 있다. 게다가 주요 이메일 주소가 데이터 유출이나 침해 사고에 한 번도 노출된 적이 없다면, 공격자가 이를 추측하기가 훨씬 더 어려워진다.

다행히 이미 비밀번호 관리자를 사용하고 있다면, 무작위 사용자 이름을 포함해 보안을 강화하는 일은 생각보다 쉽다. 구글이나 애플이 제공하는 무료 도구든, 서드파티 서비스든 상관없이 이런 비밀번호 관리자는 고유한 비밀번호와 함께 사용자 이름 정보도 함께 관리한다. 프로톤패스(ProtonPass)처럼 일부 비밀번호 관리자는 이메일 마스킹(일명 별칭 이메일) 기능도 지원해 로그인 시 이메일 주소가 꼭 필요한 경우에도 실제 주소를 드러내지 않고 사용할 수 있다.

Foundry

예를 들어, 평소 사용하는 이메일 주소가 emailaddy@randomdomain.com이라면, 마스킹된 이메일 주소는 e8xk3x@otherdomain.com이나 duck-duck-goose@birds.com처럼 보일 수 있다. 이런 주소로 받은 이메일은 실제 이메일 주소로 자동 전달된다.

이런 추가 보안 조치가 복잡하게 느껴질 수 있지만, 실제로 적용하는 과정은 간단하다. 우선 금융이나 의료 서비스처럼 중요한 계정부터 시작해 점차 범위를 넓혀가면 된다. 지금 당장 모든 계정의 로그인 ID를 바꿀 필요는 없다. 사이트에 로그인할 일이 생겼을 때 변경하면 된다.

요즘은 데이터 유출과 침해 사고가 워낙 흔하게 일어나기 때문에, 공격자는 훨씬 더 많은 정보를 손에 넣고 이를 공격에 활용할 수 있다. 따라서 온라인 활동에서는 약간의 추가 프라이버시를 확보하는 것만으로도 보안 강화에 큰 도움이 된다. 해커가 대량의 탈취 데이터를 생성형 AI 도구에 넣어 더 정교하고 빠른 사기나 공격을 만들어내거나, 특정 개인을 정밀하게 노릴 수도 있지만, 무작위 사용자 이름을 사용한다면 쉽게 식별되거나 예측하기 쉬운 표적이 되지는 않을 것이다.

물론 무작위 사용자 이름과 비밀번호도 결국 그것들을 보호하는 비밀번호만큼만 안전하다. 그러니 비밀번호 관리자의 보안부터 철저히 강화해야 한다. 그리고 중요한 점이 하나 더 있다. 주요 이메일 계정의 로그인 정보는 비밀번호 관리자에 저장하지 않는 것이 안전하다.
dl-itworldkorea@foundryco.com