46년 만의 변화
터미널에서 sudo를 입력하고 비밀번호를 칠 때, 화면에 아무것도 표시되지 않는 경험 — 리눅스를 처음 접한 사람이라면 누구나 한 번쯤 "입력이 안 되는 건가?" 하고 당황했을 것입니다. 커서가 깜빡이기만 할 뿐 별표(*)도, 점(●)도 나타나지 않는 이 동작은 1979년 Unix의 비밀번호 입력 방식에서 비롯된 것으로, 무려 46년간 유지되어 왔습니다. Ubuntu 26.04가 이 관행을 드디어 깨뜨립니다.
왜 지금까지 아무것도 안 보였나
이 "무응답" 비밀번호 입력 방식에는 나름의 보안 논리가 있었습니다. 화면에 별표를 표시하면 비밀번호의 길이가 노출됩니다. 누군가 어깨 너머로 화면을 본다면(이른바 shoulder surfing), 별표의 개수를 세서 비밀번호가 8자인지 20자인지 알 수 있겠죠. 아무것도 표시하지 않으면 비밀번호의 존재 자체, 즉 길이 정보조차 숨길 수 있습니다.
1970~80년대에 이 결정은 합리적이었습니다. 터미널은 물리적으로 공유되는 공간에 있었고, 비밀번호 정책이 지금처럼 복잡하지 않아서 길이 정보만으로도 상당한 힌트가 될 수 있었습니다. 하지만 2026년의 현실은 다릅니다. 대부분의 사용자는 개인 노트북이나 원격 SSH로 접속하며, 비밀번호 길이보다 비밀번호 자체의 복잡도가 훨씬 중요해졌습니다.
무엇이 바뀌는가
Ubuntu 26.04부터는 sudo 비밀번호 입력 시 각 문자에 대해 별표(*)가 표시됩니다. 기술적으로는 sudoers 설정에서 pwfeedback 옵션이 기본적으로 활성화되는 것입니다. 이 옵션 자체는 오래 전부터 존재했지만, 배포판 차원에서 기본값으로 설정하는 것은 Ubuntu가 주요 배포판 중 처음입니다.
사실 이 변경은 기술적으로는 trivial합니다. /etc/sudoers 파일에 한 줄 추가하는 것에 불과하죠. 하지만 이것이 기본값(default)으로 바뀐다는 점이 중요합니다. 소프트웨어에서 기본값의 힘은 막강합니다. 대부분의 사용자는 기본 설정을 변경하지 않기 때문에, 기본값이 곧 대다수 사용자의 경험이 됩니다.
보안 관점에서의 트레이드오프
이 변경에 대해 보안 커뮤니티의 의견은 갈립니다. 비밀번호 길이 노출을 우려하는 전통적 시각이 여전히 있는 한편, 현실적인 사용성 관점에서는 긍정적 측면이 큽니다.
pwfeedback가 없는 환경에서 가장 흔한 문제는 사용자가 비밀번호를 입력하다가 오타를 냈는지 확신할 수 없다는 것입니다. 결국 여러 번 시도하게 되고, 이는 계정 잠금으로 이어질 수 있습니다. 또한 초보 사용자가 "입력이 안 된다"고 판단하고 Ctrl+C로 빠져나가거나, 더 나쁜 경우 비밀번호를 평문으로 다른 곳에 입력하는 일도 발생합니다.
과거에 pwfeedback 관련 보안 취약점(CVE-2019-18634)이 발견된 적도 있습니다. sudo 1.8.26 이전 버전에서 이 옵션이 활성화된 경우 버퍼 오버플로우가 발생할 수 있었죠. 하지만 이 취약점은 이미 오래 전에 패치되었고, 현재 버전에서는 문제가 없습니다.
더 넓은 맥락: 리눅스 UX의 현대화
이 변경은 Ubuntu가 추진하고 있는 데스크톱 리눅스 현대화의 일부입니다. GNOME 데스크톱의 비밀번호 입력 대화상자는 이미 오래 전부터 별표를 표시해왔는데, 같은 시스템에서 터미널만 다르게 동작하는 것은 일관성 측면에서도 문제가 있었습니다.
macOS의 터미널에서도 sudo 비밀번호 입력 시 아무것도 표시하지 않는 방식을 유지하고 있어서, 이 변경이 다른 Unix 계열 OS에도 영향을 줄지 관심을 가져볼 만합니다.
한국 개발자에게 주는 시사점
서버 관리자나 DevOps 엔지니어라면, 기존에 수동으로 pwfeedback를 설정해 사용하던 분들도 있을 것입니다. Ubuntu 26.04로 업그레이드하면 이 설정이 기본으로 적용되니 별도 작업이 필요 없습니다. 다만 보안 정책상 비밀번호 길이 노출이 우려되는 환경이라면, 업그레이드 후 이 옵션을 명시적으로 비활성화해야 합니다.
더 중요한 시사점은 기본값 설계의 철학입니다. 46년간 "보안을 위해" 유지되어 온 기본값이 실제로는 사용성을 떨어뜨리고, 오히려 보안에 해로운 사용자 행동을 유발하고 있었다는 것은, 우리가 만드는 소프트웨어의 기본 설정을 다시 한번 돌아보게 만듭니다.
정리
작은 변경이지만 46년의 관성을 깨는 상징적인 결정입니다. 여러분이 관리하는 시스템이나 개발하는 소프트웨어에서, "원래 그래왔으니까"라는 이유로 유지하고 있는 기본값은 없으신가요?
🔗 출처: Hacker News
TTJ 코딩클래스 정규반
월급 외 수입,
코딩으로 만들 수 있습니다
17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
