포털과 오픈마켓의 비밀번호 관리, 이대로 좋을까?

오랜만에 모 오픈마켓에 접속했습니다. 비밀번호가 틀렸다고 합니다. 이것저것 입력해 보다가 겨우 하나 성공해서 접속했더니 비밀번호를 바꾸라고 합니다. 

바꾸기 시도해 봅니다....

보시는 것처럼, 최근에 사용한 비밀번호는 사용할 수 없다고 합니다. ㅜ.ㅜ 저는 그걸 언제 사용했었는지 기억하지 못하는데, 오픈마켓의 로그인 서버는 저장하고 있었습니다.

이 오픈마켓을 자주 이용하던 시기에 비밀번호를 바꾸었던 기억이 났습니다. 그때는 최근에 사용한 비밀번호 3개까지는 다시 사용할 수 없다고 했던 것으로 기억합니다. 그렇다면, 최근 3개와 현재 사용하는 비밀번호까지, 무려 네 종류의 비밀번호를 저장하고 있다는 얘깁니다.

회사에서 업무상 접속해야 하는 모 대기업 업무용 사이트에서도 같은 일을 겪었습니다. 비밀번호를 바꾸라기에 변경 시도했더니, 최근에 사용했던 비밀번호는 사용할 수 없다는 팝업 메시지가 나왔습니다. 

이전의 비밀번호를 왜 보관하고 있는 걸까요? 이전의 비밀번호를 보관하면 정보보호에 더 유리한가요? 보안성이 더 강화되나요? 이 A 오픈마켓 사이트는 예전에 비밀번호 유출로 사용자들과 소송을 치렀던 사이트입니다. 같은 회사에서 운영하는 G 오픈마켓도 개인정보 유출한 적이 있습니다. 만일 또 개인정보가 유출된다면? 아이디 하나당 비밀번호 최소한 4종류가 유출된다는 얘기입니다. 

최근의 비밀번호를 4개까지 서버에 저장, 보관하는 더 안전할까요, 아니면 더 위험할까요? 저는 상식적으로 생각해 볼 때, 어려운 문제 같지는 않습니다. 또, 비밀번호를 암호화해서 보관한다는데, 사실일까요? 암호화해서 보관한다면 최근의 비밀번호가 뭔지 어떻게 알 수 있을까요? 각 사이트마다 무려 네 개씩이나 보관된 제 비밀번호... 더 이상 비밀이 아니니 그냥 패스워드라고 해야 하나요?

대부분의 웹 이용자들은 각 사이트마다 비슷한 패스워드를 사용할 겁니다. 그리고 변경하는 것도 일일이 기억하기 힘들어서 규칙을 정해 놓고 바꿀 겁니다. 저만 그런가요? 혹시나 유출된다면 네 배로 더 위험한 건 아닐까요? 그리고, 무엇보다도 본질적인 의문은, 비밀번호를 자주 바꾸면 과연 안전한가? 라는 질문입니다.

비밀번호는 본인은 기억하기 쉬워야 하고, 남들은 유추하기 어려워야 합니다. 자주 바꾸면 기존의 비밀번호를 알아내기 어려울까요? 그런데 만약에 내가 사용하는 비밀번호가 네 개나 유출된다면, 내가 변경하는 패턴을 알아내서 앞으로 어떻게 변경할지 유추할 수 있게 되지는 않을까요?

비밀번호, 자주 바꿔야 안전하다는 논리의 근거가 궁금합니다. 그리고, 최근의 비밀번호를 세 개나 서버에 저장해 놓는 이유가 진짜 이해가 안 되어서 너무 궁금합니다.