Table of Contents

계정 관리

일상 생활에서 우리는 언제나 계정과 함께 한다고 생각해도 과언이 아닙니다. 옷을 사러 가도 무슨 멤버십 가입을 위해서 계정을 생성하고 싱글플레이 게임도 저장을 위해서 계정을 만듭니다.

이때 보통 이메일과 비밀번호를 시작으로 전화번호, 생년월일 등을 추가로 입력하기도 합니다. 그런데 이렇게 정보를 입력했다가 해킹을 당해 개인정보가 털리게 되는 사건들도 뉴스를 통해 종종 접하게됩니다. 이번 글에서는 계정 관리 시의 방안에 대해 얘기해보겠습니다.

계정 관리 케이스

1. 정부나 금융기관과 같은 실제 정보를 입력해야 하는 계정의 경우
2. 이메일과 같은 기초 계정의 경우
3. SNS같은 일상과 밀접한 계정의 경우
4. 의류나 식품같은 브랜드 계정의 경우
5. 일회성으로 필요한 계정의 경우

이제부터 각각의 케이스를 위해 어떤 방법을 사용할 수 있는지 알아보겠습니다. 먼저 활용할 수 있는 서비스들을 알아보고 이를 각 경우에 어떻게 적용할지에 대해 기술하겠습니다.

필수품: 비밀번호 관리자

크롬기반 브라우저나 스마트폰에서 비밀번호를 입력하면 이 비밀번호를 저장하시겠습니다.라는 문구가 뜨는 것을 보셨을겁니다. 이는 내장된 비밀번호 관리자가 작동한 것인데 이를 쓰시는 분들도, ‘내 비밀번호를 왜?‘라는 마음으로 쓰지 않으시는 분들도 계실 것입니다.

결론만 말하자면, 비밀번호 관리자는 사용하시는게 맞습니다. 물론, 아무거나 쓰는 것은 안전을 위해 지양합시다.

비밀번호 관리는 다음과 같은 수칙이 있습니다.

1. 같은 비밀번호를 재사용하지 않는다.
2. 최소 16자의 랜덤한 텍스트거나 5~7단어의 구절을 사용한다.
3. 본인과 관계가 없어야 한다.(SNS나 개인정보 등을 통해 유추가 불가능해야함)

사실 특수문자와 숫자, 대소문자가 섞여야 더 안전하다는 것은 제안한 사람 본인이 실수라고 인정했습니다. 하지만 안그러면 결국 짧아지거나 하기 때문에 덜 안전해진다는…

비밀번호 관리자는 1, 2, 3번을 모두 해결해주고 우리가 일일이 모든 아이디와 비밀번호를 기억할 수고를 덜어주는 편리한 존재입니다. 특히 1번, 재사용이 정말 큰 문제로 haveibeenpwned를 통해 123456같은 특정 비밀번호는 4250만번이나 발견될 정도로 사용 빈도가 높다는 것을 볼 수 있습니다.(haveibeenpwned는 현재 비밀번호가 유출기록이 있는지 확인할 수 있으며 유출됐다면 즉시 바꾸는 것을 추천드립니다.)

2번은 단순히 길어야 마구잡이로 모든 비밀번호를 넣어보는 브루트포스 공격(0부터 9999모두 시도해보는 등) 때문에 정해졌고 3번 수칙은 해커들은 자주 사용되는 비밀번호표와 SNS같은 정보수집으로 비밀번호로 쓰일만한 정보들을 수집해 해킹 가능성을 높이기 때문에 만들어졌습니다.

요즘에는 브라우저 확장이나 모바일 앱들을 통해 사이트에 회원 가입 시에 자동으로 비밀번호를 만들고 저장할 수 있고 로그인 시에는 자동으로 정보를 기입하는 등 편리성이 뛰어나 사용에도 불편함이 없습니다.

그렇다면 이렇게 편리한 비밀번호 관리자는 어떤 것을 써야 할까요?

다양한 비밀번호 관리자들

비밀번호 관리자를 선택할 시 가장 중요한 것은 보안, 두 번째로 중요한 것은 휴대성입니다. 휴대성은 얼마나 많은 소프트웨어에서 사용할 수 있는가로 해석할 수 있습니다. 요컨대 브라우저에서는 유튜브에 로그인했는데 모바일 앱에서는 자동완성이 안돼는 경우가 있습니다. 한 마디로 불편하죠.

위의 한 예시로 구글 비밀번호 관리자(크롬 내장과 동일)는 안드로이드와 크롬 사용자에게는 큰 불만이 없겠지만 아이폰이나 아이패드만 있어도 사용할 수 없어 불편하죠. 이는 애플 내장 비밀번호 관리자도 동일합니다.

그렇다면 제3자 관리어플들을 살펴볼까요? 앞서 VPN글에 언급했던 NordVPN이나 Proton같은 VPN 서비스들은 점점 종합 보안/프라이버시 플랫폼을 추구하는 듯 비밀번호 관리자를 내놓아 NordPass나 ProtonPass(제휴 링크X)같은 서비스를 제공하며 1Password나 Bitwarden같은 비밀번호 관리자만을 서비스하는 기업도 있습니다.

비밀번호 관리자를 고르기 위해 가장 중요한 것은? 보안이었죠. 이런 소프트웨어는 보통 마스터 패스워드를 설정한 후 그 비밀번호로부터 수학적으로 도출된 암호키로 디바이스에서 계정 정보와 같은 기밀들을 암호화한 후 서버로 보내기 때문에 시스템적으로 안전합니다. 이때 구글이나 애플같은 계정에 로그인만 해서 사용하는 관리자들이 프라이버시 덕후들에게 기피되는 이유가 암호키를 해당 기업이 직접 관리하기 때문에 외부로부터는 안전해도 내부로부터 안전하지 않다는 이유도 있습니다.

중요한 점은 이 마스터 패스워드는 머릿속에 기억해야 합니다. 적어도 16자는 되어야 하며 유추가 가능해서도 안됩니다. 기억하기 쉬운 비밀번호 생성 방법으로는 단어의 조합이나 A를 4로 바꾼다거나 하는 대체 문자 기법을 사용하는 것입니다. 예시로는 My$afeV@ul710000$로, a를 @로, t를 7로 치환하고 쉽게 기억할 수 있는 MySafeVault(나의 안전한 금고)같은 단어들을 활용하는 것입니다. (절대로 저 비밀번호를 사용하시면 안됩니다-가끔 예제 그대로 쓰시는 분들 있습니다)

아무튼 보안 작용이 서버로 가기 전에 실행되고 나중에 사용할 때도 서버로부터 암호화된 정보를 가져와서 다시 복호화를 시키기 때문에 안전하게 비밀번호 관리자를 사용할 수 있는 것입니다. 물론, ‘소프트웨어가 그렇게 안하면 어떡해요?‘라는 질문이 나올 수 있습니다. 이에 대한 답은 몇몇 보안업계 사용자들이 이미 송수신되는 데이터를 확인하여 검증하기도 했고 만일 그럼에도 불안하다면 오픈 소스된 비밀번호 관리자를 사용할 수도 있습니다. 앞서 언급한 서비스 중에서는 ProtonPass와 Bitwarden이 오픈 소스입니다. (저는 두 개 모두 사용하고 있습니다)

오픈 소스란 소스 코드가 공개된 것으로 소프트웨어가 어떻게 작동하는지 정확하게 알 수 있어 헛짓거리를 시도했는지 확인할 수 있습니다

프라이버시 덕후들 사이에서는 1Password가 가장 인기있고(무료 버전X) 그 다음으로 ProtonPass와 BitWarden이 뒤를 따르는 것 같습니다. NordPass도 나온지 얼마 안돼서 그렇지 많이들 사용합니다. 앞선 4개 중에서 고르는 것을 추천하며 LastPass는 유출 문제, 이상한 운영 등을 이유로 비추합니다.

추가로 제가 Proton과 Bitwarden을 둘 다 사용하는 이유는 Proton은 백업용, Birwarden은 직접 소프트웨어를 개인 서버에서 작동시키기(사실 얘가 원래 테스트/백업용인데 직접 작동하면 기능이 더 많음) 때문으로 둘 중 하나만 사용하셔도 무방합니다.

임시 이메일 및 Email Alias(이메일 별명)

앞선 비밀번호 관리자 글이 조금 길어졌으니 나머지는 조금 간단히 가보겠습니다.

먼저 temp-mail.org와 같은 서비스들은 임시로 이메일을 만들어 사용할 수 있게 해주는 서비스로 10분 이메일이라는 이름으로도 자주 불립니다. 버리는 계정등에 유용하게 사용할 수 있습니다.

그리고 더 유용하게 사용할 이메일 Alias는 해당 서비스에서 만든 이메일을 회원가입할 때 기입하면 그 이메일로 오는 모든 메일을 따로 지정한 이메일로 전달해주는 서비스입니다.

예를 들어 서비스에서 [email protected]이라는 메일이 만들어지고 회원가입을 해서 인증 메일이 날라오면 미리 지정한 [email protected]로 전달되는 시스템입니다. 굳이 이런 서비스가 필요할까 싶으실 텐데 이 서비스의 장점은 여러 이메일을 만들어 문제가 생기면 바로 차단하거나 버리고 다른 이메일로 다시 계정을 만들 수 있다는 점입니다.

이것저것 회원가입을 하다보면 메일함에 온갖 광고 메일이 날아오게 됩니다. 어떤 경우에는 가입한 브랜드가 아닌데도 날라오기도 합니다.(이 경우 메일 정보가 털리거나 가입한 사이트에서 정보를 판매하여 다른 기업이 이를 구매한 경우입니다) 이때 위의 이메일 별명을 사용했다면 어떨까요?

예시로 [email protected]이라는 메일을 모든 음식점 회원가입에 사용했다고 하면 단순히 이 이메일을 서비스 내에서 삭제하여 실제 이메일에 오는 것을 막을 수 있습니다. 그리고 다른 이메일을 생성할 수 있으니 회원 가입 쿠폰을 여러번 얻거나 그냥 너무 번잡해서 지운 멤버십에 다시 가입할 수도 있겠죠. 요는 관리에 용이하다는 것입니다.

이메일 Alias를 제공하는 서비스로는 AnonAddy(무제한 생성/월 10MB 제한)와 SimpleLogin(Proton 산하)(10개 생성/현재 사용중)가 대표적입니다.(슬슬 느끼셨는지 모르겠지만 Proton 계정만으로 어지간한 건 다 커버됩니다)

특히 Proton 메일 유료계정의 경우 무제한으로 이메일 생성이 가능하고 Proton Unlimited 계정의 경우 ProtonPass와 함께 자동으로 사이트마다 별도의 이메일 별명과 비밀번호를 생성해 기입해줍니다. 만약 SimpleLogin을 선택하신다면 회원가입 전에 미리 고민해보고 가입하자마자 주어지는 7일간의 프리미엄 기간에 이메일을 많이 생성해두시는 것을 추천합니다. 이때 생성된 메일들은 프리미엄 기간이 지나도 유지되지만 10개가 넘을 경우 새롭게 생성하지는 못하며 메일 삭제 후 10개가 넘는 경우에도 새로 생성이 불가능합니다.

기본적으로 이메일 별명 서비스를 사용할 때는 개별 사이트가 아니라 쇼핑, OTT, 음식 등 큰 분류용 이메일과 몇몇 특정 용도의 이메일 등으로 나누어서 생성해 사용하시는 것을 추천드립니다.

임시 번호와 두 번째 번호

임시 번호의 경우 임시 이메일과 유사하게 SMS를 온라인으로 확인할 수 있는 서비스지만 대다수 사이트의 경우 이런 번호들을 차단하고 있거나 이미 사용중인 번호로 뜨기 때문에 실사용성은 낮습니다.

두 번째 번호

위의 문제를 어느정도 해결하는 것은 원래 쓰는 번호가 아닌 새로운 번호를 개통하는 것인데 그럼 매달 통신사에 추가로 납부해야하는거 아니냐고 하실 수 있습니다.

Hushed같은 경우 $25로 미국/캐나다/영국 중 한 국가의 번호 하나를 개통해 계속 추가비용 없이 사용할 수 있습니다. 제한은 6개월마다 6000문자 혹은 1000분의 통화이며 6개월간 사용 내역이 없을 시 번호가 취소됩니다. (본인이 선택한 나라의 기업 고객센터에 전화 걸면 자동ARS에 2분 정도 있다가 끊어도 됩니다)

하지만 두 번째 번호를 얻는 것은 절대 필수가 아니며 이런 VoIP 번호들은 막힌 곳들이 많기 때문에 해외에 거주하시는 분들이 아니면 추천드리지 않으며 대한민국에서는 통신사 PASS등의 이유로 더욱 사용이 어렵습니다. 이런 것도 있구나 정도로 넘어가시면 될 것 같습니다.

계정 케이스별 예시

이제 사용할 수 있는 여러 서비스에 대해 알아보았으니 실제로는 어떻게 계정 관리에 써먹을 지를 알아봅시다. 더 이상 언급하지 않을 전제조건은 비밀번호 관리자를 사용하는 것입니다.

1. 실제 정보를 기입해야 하는 경우

정부나 금융기관의 경우 개인정보와 밀접한 연관을 띠기 때문에 이름이나 나이 등을 허위로 작성해서는 안됩니다. 또한, 대한민국에서는 공동인증서 등을 이유로 Hushed같은 제2의 번호를 사용하기도 어렵습니다. 하지만 이메일의 경우에는 다릅니다. 나한테 전달되기만 한다면 아무 이메일을 사용해도 상관없기 때문에 꼭 내 메인 이메일을 기입할 필요가 없습니다.

그런데 내 개인정보와 밀접한 연관을 띤다면 암호화를 하던 하지 않던 보안에 취약한 이메일을 이중으로 서버를 거치는 이메일 별명을 사용하면 어딘가 불안하죠. 따라서 이렇게 민감한 정보를 다루는 계정들은 전용 메일을 일반적인 메일 서비스에서 따로 개설하는 것을 추천드립니다. 원래 이메일과 동일한 앱을 사용하면 편리하니 같은 서비스에서 새로 만드시거나 다른 서비스에서 만든 뒤에 SMTP/IMAP같은 걸로 메일 앱에 등록하시는 것도 방법입니다.(두 번째 방법은 “[메일서비스 이름] SMTP 설정하기” | “OO메일에 외부메일 불러오기” 등으로 검색하여 자세한 방법을 확인할 수 있습니다.) 저는 메인 메일을 ProtonMail을 사용하고 있지만 이 경우 다른 메일 앱에 불러오기 불편하고 무료계정은 앱에 한 이메일만 등록할 수 있기 때문에 Proton의 서비스들(앞서 언급된 VPN, Pass와 더불어 드라이브와 캘린더도 서비스중)을 사용하지 않으시다면 굳이 추천드리지는 않습니다.

2. 새 이메일같은 기반 계정의 경우

그렇다면 새로운 이메일을 만들 때는 어떻게 해야 할까요? 대부분의 이메일 서비스들은 회원가입 시 이름과 생년월일을 물어보고 복구용 이메일을 추가로 묻는 경우가 많습니다. 지금은 특정 목적을 가진 이메일을 만드는 것이기 때문에 정보를 대충 입력해도 문제는 없지만 만약 구글/네이버로 광고 수익을 얻거나 하는 경우에는 실제 정보를 입력해야 하니 필요에 따라 계정을 여러 개 만드시면 됩니다.

3. SNS와 같은 일상과 밀접한 경우

SNS의 보안/프라이버시는 다음 글에 더 자세히 설명하겠습니다만 이런 서비스들의 계정을 만들 경우 SNS용 이메일을 따로 두고 정보는 아무렇게나 작성하셔도 상관없습니다. 어차피 SNS 서비스들은 사용자를 완전히 분석할 수 있기 때문에 별도 이메일은 귀찮음 방지 목적이 가장 주된 이유이며 혹시 설정이 잘못되거나 해킹의 경우 실제 이름과 나이 등의 정보가 새어나가는 것 보다는 가짜 정보가 유출되는 것이 훨씬 더 안전합니다.

보안/프라이버시에 민감하다면 SNS는 사용하지 않는 것이 제1원칙입니다.

4. 브랜드 계정의 경우

브랜드 계정이나 뉴스레터의 경우 혜택을 위해 가입하는 경우가 많으실 텐데, 앞서 말한 것처럼 이메일 별명을 사용하시고 정보는 기호에 따라 입력하시면 됩니다. 왜 기호에 따라 입력하라는 말을 하냐면 생일 기념 쿠폰이나 이름을 기반으로한 멘트 등 브랜드들은 사용자에게 어필을 하려는 경향이 짙고 본인이 그런 부분을 좋아하신다면 실제 정보와 동일하게 기입하시면 됩니다. 어차피 결제 위치 및 결제 방법, 구매내역을 토대로 어지간한 정보는 유추되기 때문에 해킹 방지용이라고 생각하시면 됩니다.

5. 일회성 계정의 경우

일회성 계정은 앞서 언급하고 아직까지 사용되지 않았던 임시 이메일/임시 전화번호(SMS)가 활약하는 부분으로 모든 정보를 거짓으로, 메일과 SMS는 임시 서비스를 통해 사용하시면 됩니다. 만약 의심스러운 사이트에 회원가입은 해야하는데 여기서 오는 메일에 관심이 없고 로그인에 문제가 없다면 임시 이메일로 만든 계정을 비밀번호 관리자에 등록해두고 계속 사용하셔도 문제는 없습니다. 다만, 나중에 고객센터나 필수 이메일을 받아야하는 경우가 생기면 다시 이메일을 바꾸는 것도 쉽지 않을 수 있습니다.

제가 사용하는 셋업

저는 기본적으로 ProtonMail과 Gmail에 각각 여러 계정을 만들어 사용하고 있으며 금융은 ProtonMail을 사용하고 있습니다. 또한, SimpleLogin을 통해 새로 만드는 계정 대부분의 이메일을 대체하고 있으며 기존의 계정들도 전부 이메일 별명으로 바꾸어 두었습니다.

비밀번호 관리자는 앞서 언급했듯이 ProtonPass와 Bitwarden을 사용하고 있으며 둘 모두 무료 버전으로도 충분히 편리하게 사용하실 수 있습니다. 유료계정의 경우 Vault를 추가로 만들어 분류가 편해진다고 하지만 제가 사용해본 결과 어차피 특정 계정을 검색하는 경우가 많고 실제로 로그인할때 영향을 미치지 않기 때문에 유료버전을 결제할 필요는 없다고 생각됩니다.

또한, temp-mail.org로 일회성이 아니라 일반 계정들도 많이 만들고 있으며 제가 해외에서 통화나 문자를 주고받을 일이 많아 Hushed 평생 계정도 하나 결제해서 사용하고 있습니다.