비밀번호 변경 의무가 완화됩니다

인터넷 포털과 같은 정보통신서비스 사업자들에게 적용되던 비밀번호 변경 의무가 최근 개인정보 보호법의 개정을 통해 완화되었습니다. 이전에는 개인정보 취급자들에게 6개월마다 비밀번호를 변경하도록 하는 의무가 있었지만 규정을 잘못 해석해 일반 이용자들에게 적용되면서 일반 이용자들이 비밀번호를 변경해야 하는 불편함을 겪었습니다. 이번 법 개정을 통해 '비밀번호 작성 규칙 수립'과 '주기적 변경 의무'에 관한 규정이 삭제되었습니다.

 

또한 이러한 주기적인 비밀번호 변경이 실제로 해킹 방지에 크게 효과적이지 않다는 주장이 있습니다. 이러한 주장 뒷받침하는 근거로는 처음 비밀번호가 pass1@이었다면 다음에는 pass2@ 다음에는 pass3@ 이런 식으로 패턴 내에서 변경하거나 빈번한 비밀번호 변경이 사용자들로 하여금 쉬운 비밀번호를 선택하게 하거나 비밀번호를 메모장에 적어두는 등의 행위를 할 수 있습니다.

 

주기적으로 강제되는 변경 요구는 반드시 보안을 강화하는 것이 아니라 보안을 약화시킬 수도 있다는 것이 전문가들의 주장입니다.

 

이번 법 개정은 이러한 인식도 반영한 것으로 보이며 사용자들에게 더 편리하고 현실적인 보안 조치를 취할 수 있는 환경을 제공하는 것으로 해석될 수 있습니다.