[논문]패스워드 표기 방식이 패스워드 생성에 미치는 영향

김승연; 권태경

doi:10.13089/jkiisc.2015.25.5.1235

패스워드 표기 방식이 패스워드 생성에 미치는 영향
A Study of Interpretation Effect of Passwords to Password Generation 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.25 no.5, 2015년, pp.1235 - 1243

초록
AI-Helper

본 논문은 웹페이지의 로그인 또는 패스워드 변경 인터페이스에서 제공하는 패스워드 표기 방법이 국내 사용자의 패스워드 구성(composition)에 영향을 주는지 설문을 통해 살펴보고, 보안 향상을 위한 표기법을 제안한다. 특히 현재 혼용되고 있는 외국어 '패스워드' 표기와 이를 우리말로 번역한 '비밀번호' 표기는 의미적인 차이가 있다. 국내 S대학교 재학생 200명을 대상으로 설문조사를 통해 '비밀번호' 표기를 사용할 때 더 많은 학생들이 숫자 위주의 패스워드를 만드는 것을 확인하였다. 숫자 위주의 패스워드는 그렇지 않은 경우에 비해 가능한 조합의 수가 크게 감소하므로 이는 보안에 좋지 않은 영향을 줄 우려가 있다. 따라서 본 논문이 국내 사용자들의 패스워드 보안을 향상시킬 방법을 찾는 연구의 참고 자료로 활용될 수 있을 것이라 기대한다.

Abstract ▼ AI-Helper

The purpose of this study was to find if the password composition of domestic users is affected by the different form of the word 'Password' in the interface of login or password change. In particular, 'Password', foreign notation, and 'Secret Number', notation translated by Korean, have a semantic difference. According to the survey of 200 students in S university, passwords made under the word 'Secret Number' are heavy on numbers than alphabet. Because these passwords make much smaller composition space than another case, they have bad security impact. We expect to make use of this paper as a base line data for study to find how improve domestic user's password security.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구는 S대학교 재학생 200명을 대상으로 한 설문조사 결과를 바탕으로 진행하였으므로 설문 대상이 비교적 컴퓨터와 친숙한 세대이며 어느 정도 교육을 받았다는 점, 그리고 의도적으로 IT 전공자를 다수 포함시켰다는 점에서 주목할 만하다. 또한 본 연구는 국내 사용자의 일반적인 계정 관리 조사에 참고가 될 수 있는 몇몇 특징을 제공한다.
본 연구는 종이 설문지를 사용한 대면 설문조사로 수집된 데이터를 기반으로 진행된다. 대면 설문은 온라인 설문과 달리 설문에서 악성 소프트웨어로 참가자의 ID와 같은 계정 정보를 수집할 수 있는 가능성이 전혀 없고, 참가자 또한 그 사실을 직관적으로 이해할 수 있으므로 패스워드에 관한 민감한 질문에도 비교적 진실한 답변을 할 것으로 기대하여[9] 종이 설문지를 통한 대면 설문을 수행하였다.
즉, 본 연구는 ‘패스워드’ 표기와 ‘비밀번호’ 표기에서 사용자들이 생성하는 패스워드 구성에 차이가 있는지를 알아볼 것이다.

가설 설정

‘패스워드’ 표기보다 ‘비밀번호’ 표기에서 더 많은 사용자들이 숫자 위주의 패스워드를 만든다는 것이 본 연구의 가설이다.
설문 내용은 다음과 같다. 먼저 응답자가 학사정보시스템 계정의 패스워드를 변경하는 상황을 가정하여 새로운 패스워드를 가상으로 설정하게 한다. 그리고 성별을 포함한 인구통계 정보와, 패스워드의 전체 길이, 사용된 문자(a~z, A~Z)의 길이와 의미, 숫자의 길이와 의미 정보를 수집한다.
본 연구의 질문은 “패스워드의 표기 방식에 따라 사용자들이 생성하는 패스워드 구성에 차이가 있는가?
그러나 가설 1과 가설 2에서는 숫자 위주의 패스워드를 판정함에 있어서 특수문자를 고려하지 않았다. 특수문자는 분류하기가 애매하나, 적어도 이것을 숫자로 생각하기는 어렵기 때문에 숫자보다는 문자에 가깝다고 간주하고 다음의 가설을 세웠다.

제안 방법

각 설문지에는 현실적인 패스워드의 데이터를 얻기 위해[10] 실제 패스워드 변경화면(Fig.2.)의 패스워드 표기를 ‘비밀번호’ 또는 ‘패스워드’로 완전히 통일시킨 스크린 샷을 첨부하였다.
그리고 성별을 포함한 인구통계 정보와, 패스워드의 전체 길이, 사용된 문자(a~z, A~Z)의 길이와 의미, 숫자의 길이와 의미 정보를 수집한다. 그리고 패스워드의 재사용 여부와 사용된 구체적인 수정 규칙, 그리고 일반적인 계정관리에 관한 몇 개의 문항을 추가하였다.
본 연구는 종이 설문지를 사용한 대면 설문조사로 수집된 데이터를 기반으로 진행된다. 대면 설문은 온라인 설문과 달리 설문에서 악성 소프트웨어로 참가자의 ID와 같은 계정 정보를 수집할 수 있는 가능성이 전혀 없고, 참가자 또한 그 사실을 직관적으로 이해할 수 있으므로 패스워드에 관한 민감한 질문에도 비교적 진실한 답변을 할 것으로 기대하여[9] 종이 설문지를 통한 대면 설문을 수행하였다.
단순히 숫자가 문자보다 많은 경우(H1)를 숫자 위주의 패스워드로 생각할 수 있으나, 이는 보편타당한 관점이 아닐 수 있다. 따라서 숫자가 문자보다 2배 이상 많은, 다시 말해 숫자 위주의 패스워드가 될 기준이 훨씬 엄격한 경우(H2)에 대해서도 가설검정을 수행하였다. 아래 가설에서 |N|은 패스워드에서 숫자의 개수를, |C|는 패스워드에서 문자의 개수를, |S|는 특수문자의 개수를 의미한다.
설문 내용은 동일하면서 패스워드 표기 방식만 ‘비밀번호’와 ‘패스워드’로 각각 다른 두 종류의 설문지를 만들었다.
설문 내용은 동일하면서 패스워드 표기 방식만 ‘비밀번호’와 ‘패스워드’로 각각 다른 두 종류의 설문지를 만들었다. 설문 문항은 논문에 설문 문항이 포함된 기존 연구들[3][9]을 참고하여 개발되었다. 설문 내용은 다음과 같다.
‘비밀번호’ 표기 설문지와 ‘패스워드’ 표기 설문지를 각각 100부씩 준비하여 무작위로 섞은 다음, S대학교 캠퍼스에서 학생들에게 설문에 참여해 줄 것을 요청하였다. 수락하면 어떤 설문인지를 설명한 후 설문 응답을 받고, 소정의 답례를 제공하였다.
최근(2015년 7월) SOUPS에 발표된 논문에서 Ur 등은 49명의 사용자를 대상으로 패스워드에 관한 45분~1시간 규모의 심층 면접을 진행하여 사용자들이 안전한 패스워드에 대해 잘못된 관념(misconception)을 가지고 있음을 보였다[12]. 이 논문에서는 단어 및 어구 선택에 관한 내용을 한 단락으로, 그리고 숫자와 특수문자를 묶어서 한 단락으로 기술하였고 또한 사용자들이 숫자와 특수문자를 추가함으로써 패스워드가 더 안전해졌다고 믿는 경향을 관찰했다고 하였다. 이로부터 해당 연구의 연구자들과 참가자들은 대체로 패스워드를 (직역한 의미에 걸맞게) 단어 중심으로 구성함과 동시에 숫자를 특수문자와 함께 보안을 위한 추가 문자로 여김을 짐작할 수 있다.

대상 데이터

다음은 그러한 문항에서 드러난 몇몇 특징에 관한 설명이다. 3.2절에서 얻은 유효한 응답뿐 아니라 200개의 모든 응답을 대상으로 조사하였다. 계정 관리에 관한 문항은 복잡한 실험 문항에 비해 참가자의 일반적인 경향을 조사하는 비교적 간단한 문항이므로 복잡한 실험 문항에서는 부적절한 응답을 했더라도 간단한 경향 조사 문항에서는 진실에 가까운 응답을 했을 가능성이 높다고 판단하였기 때문이다.
국내 S대학교 재학생 200명[6]을 대상으로 설문조사를 계획했다. S대학교의 학사정보시스템은 로그인 화면에서 ‘비밀번호’ 표기를 사용하고 있고, 패스워드 변경화면에서는 Fig.
본 논문은 5장으로 구성되어 있다. 2장에서 본 연구의 질문과 가설, 가설검정을 위한 데이터 수집 절차를 설명한다.

성능/효과

단측 t-test 결과 가설 1과 가설 2가 유의한 것으로 나타났다(p≤0.05).
데이터 처리 결과, ‘비밀번호’ 표기에서 89개, ‘패스워드’ 표기에서 90개 응답이 유효했다.
본 연구는 설문조사에 의한 실험을 통해 ‘비밀번호’ 표기를 사용할 때 숫자 위주의 패스워드가 더 많이 발생한다는 것을 보임으로써 국내 웹사이트에서 널리 사용되고 있는 ‘비밀번호’ 표기의, 좀 더 정확히는 패스워드를 ‘비밀번호’로 표기하는 것에서 발생할 수 있는 보안 취약성을 보인다.
본 연구는 웹페이지의 로그인 또는 패스워드 변경 인터페이스에서 패스워드를 ‘비밀번호’로 표기할 경우 ‘패스워드’로 표기한 경우에 비해 숫자 위주의 패스워드가 더 빈번히 발생함을 보였다.
Veras 등은 RockYou 유출 패스워드 리스트를 기반으로 사용자들이 패스워드에 자주 사용하는 영어 단어와 함께 일반 영문법이 아닌 패스워드 특유의 문법을 가지고 패스워드의 의미까지 고려한 패스워드 추측 알고리즘을 개발하였다. 알고리즘을 바탕으로 LinkedIn과 MySpace 유출 패스워드를 추측하는 실험을 수행하였고, 그 결과 최신 기법보다 추측 성공률이 크게 높아지는 것을 보였다[11].
즉 ‘비밀번호’ 표기에서 단순히 문자보다 숫자가 많은 패스워드는 물론이고 문자 개수의 2배보다도 숫자의 개수가 많은, 다시 말해 명백히 숫자 위주인 패스워드도 유의하게 더 많이 발견할 수 있었다.
특수문자 개수를 정확하게 확인 할 수 있는 데이터(유효 데이터 중 ‘?’ 응답과 ‘~’ 응답을 제외한 177개 데이터) 를 기준으로 패스워드에 특수문자를 포함시킨 경우는‘비밀번호’ 표기 설문지와 ‘패스워드’ 표기 설문지 각각 23%, 26%였다.

후속연구

예를 들어, 사용자들은 본인과 관련된 여러 가지 단어 중에서도 특히 이름을 선호하였다. 같은 이름이라도 다양한 방법으로 표현 가능하므로 어떤 방식의 표현 방법이 많이 사용되는지에 관한 후속 연구가 가능할 것이다.
또한 이를 근거로 국내 웹사이트들이 외래어 표기인 ‘패스워드’를 사용하거나 더 직관적으로 이해하기 쉬우면서도 안전한 표기 방법을 적극적으로 도입할 것을 권고한다.
본 연구의 한계는 종이 설문지를 이용한 직접 설문의 특성상 매우 큰 규모의 설문이 어려웠다는 점이다. 본 연구보다 복잡한 연구 모델을 통해 사용자의 패스워드 선택에 따른 보안효과에 관한 연구를 진행한 기존 연구[6]에서도 본 연구와 비슷한 규모 및 형태의 표본을 사용하였으므로 연구 모델이 비교적 단순한 본 연구는 충분히 유의미하다고 생각되나, 온라인 설문을 이용하여 매우 큰 규모의 설문을 통한 후속 연구도 가능할 것이다.
본 연구의 한계는 종이 설문지를 이용한 직접 설문의 특성상 매우 큰 규모의 설문이 어려웠다는 점이다. 본 연구보다 복잡한 연구 모델을 통해 사용자의 패스워드 선택에 따른 보안효과에 관한 연구를 진행한 기존 연구[6]에서도 본 연구와 비슷한 규모 및 형태의 표본을 사용하였으므로 연구 모델이 비교적 단순한 본 연구는 충분히 유의미하다고 생각되나, 온라인 설문을 이용하여 매우 큰 규모의 설문을 통한 후속 연구도 가능할 것이다.
숫자 위주의 패스워드는 그렇지 않은 경우에 비해 명백하게 전수 공격에 취약하므로 국내 웹사이트들은 ‘비밀번호’ 표기를 사용하는 것을 지양하고, ‘패스워드’ 표기나, 더 직관적으로 이해하기 쉬우면서도 보안에 악영향을 줄 우려가 적은 표기 방법을 도입해야 할 것이다.
본 연구의 결과는 해외, 특히 영어권 국가의 연구에서는 찾아보기 어려운 사항이다. 이러한 점에서 본 연구가 국내 사용자의 특성에 맞춘 보안 정책 및 기술 개발의 참고 자료로 활용될 수 있을 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	패스워드는 일반적으로 어떻게 구성되는가?	패스워드는 사용자 인증을 위해 사용되는 비밀 문자열을 의미하며 일반적으로 영문자와 숫자, 그리고 경우에 따라 특수문자를 조합하여 구성된다. 영어권 웹사이트에서는 이러한 패스워드를† 일률적으로 ‘Password’로 표기하지만, 국내에서는 ‘패스워드’ 보다는 ‘암호’ 또는 ‘비밀번호’ 표기가 널리 쓰이고 있다 (Fig.
	패스워드란 무엇인가?	패스워드는 사용자 인증을 위해 사용되는 비밀 문자열을 의미하며 일반적으로 영문자와 숫자, 그리고 경우에 따라 특수문자를 조합하여 구성된다. 영어권 웹사이트에서는 이러한 패스워드를† 일률적으로 ‘Password’로 표기하지만, 국내에서는 ‘패스워드’ 보다는 ‘암호’ 또는 ‘비밀번호’ 표기가 널리 쓰이고 있다 (Fig.
	비밀번호가 PIN 인증 수단에 더 어울리는 표기임에도 불구하고 '패스워드'를 '비밀번호'로 표기하는 이유는 무엇인가?	국내에서 패스워드의 의미로 널리 사용되는 ‘비밀번호’ 표기는 사실 전자식 현관 자물쇠, 통장 비밀번호처럼 숫자만 입력 가능한 인증 수단(PIN)에 더 어울리는 표기이다. 그럼에도 ‘패스워드’를 ‘비밀번호’로 표기하는 이유는 그 역할이 서로 유사하나 후자가 직관적으로 더 이해하기 쉽기 때문인 것으로 짐작된다. 그러나 본 연구에서는 이러한 번역 및 표기가 더 많은 사용자들이 ‘비밀번호’의 본래 의미인 PIN에 가까운, 숫자 위주의 패스워드를 만들도록 하는 취약점의 원인이 될 가능성이 있다고 보았다.

참고문헌 (12)

J. Bonneau, "The science of guessing: analyzing an anonymized corpus of 70 million passwords," Proceedings of the 33th IEEE Symposium on Security and Privacy, pp. 538-552, May. 2012.
X.de.C.de Carnavalet, and M. Mannan, "From very weak to very strong: Analyzing password-strength meters," Proceedings of the Network and Distributed System Security Symposium, Feb. 2014.
A. Das and J. Bonneau, "The tangled web of password reuse," Proceedings of the Network and Distributed System Security Symposium, Feb. 2014.
M. Just and D. Aspinall, "Personal choice and challenge questions: a security and usability assessment," Proceedings of the 5th Symposium on Usable Privacy and Security, pp. 8, July. 2009.
Jinkook Joo, "A Contrastive Semantic Analysis of English and Korean News Terminology," The Journal of translation studies, 12(3), pp. 263-279, Sep. 2011.
Jongki Kim and Dayeon Kang, "A Study on the Factors Affecting the Information Systems Security Effectiveness of Password," Asia Pacific Journal of Information Systems, 18(4), pp. 1-26, Dec. 2008.

상세보기
Wonwoo Lee, Statistics clearly written, Pakyoungsa, pp. 157-172, Sep. 2009.
R. Shay, S. Komanduri, A.L. Durity, P. Huh, M.L. Mazurek, S.M. Segreti, B. Ur, L. Bauer, N. Christin, and F. Cranor "Can long passwords be secure and usable?," Proceedings of the 32nd annual ACM conference on Human factors in computing systems, pp. 2927-2936, Apr. 2014.
R. Shay, S. Komanduri, P.G. Kelley, P.G. Leon, M.L. Mazurek, L. Bauer, N. Christin, and L.F. Cranor "Encountering stronger password requirements: user attitudes and behaviors," Proceedings of the Sixth Symposium on Usable Privacy and Security, pp. 2:1-2:20, July. 2010.
E. Stobert and R. Biddle, "The password life cycle: user behaviour in managing passwords," Proceedings of the Symposium on Usable Privacy and Security, pp. 243-255, July. 2014.
R. Veras, C. Collins, and J. Thorpe, "On the semantic patterns of passwords and their security impact," Proceedings of Network and Distributed System Security Symposium, Feb. 2014.
B. Ur, F. Noma, J. Bees, S.M. Seqreti, R. Shay, L. Bauer, N. Christin, and L.F. Cranor, ""I Added '!' at the End to Make It Secure":Observing Password Creation in the Lab," Proceeding of the 11th Annual Symposium on Usable Privacy and Security, pp. 123-140, July. 2015.

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증