Offcanvas

보안

영원한 기업 보안 취약 지대, '허술한 비밀번호'

2012.04.19 Jaikumar Vijayan  |  Computerworld
애완견 이름이나 좋아하는 영화를 딴 비밀번호는 '금물'이다. 
 
최근 미국 유타주에서는 25만 5,000명의 사회보장번호(Social Security Number)가 누출되는 데이터 침해 사고가 있었다. 이는 매번 반복되고 있지만, 동시에 과소평가되고 있는 위험 가운데 하나를 상기시켰다. 
 
다름아닌 취약 비밀번호 및 기본 비밀번호에서 비롯되는 위험이다.
 
미국 유타주 IT 당국에 따르면, 미국 보건부(Department of Health)의 메디케이드(Medicaid) 서버 침입 사고는 누출된 데이터를 호스팅하고 있는 서버 인증 계정의 설정 오류 때문이었다.
 
많은 보안 분석가는 데이터가 유출된 서버가 기본 값에 해당하는 관리자 비밀번호나 추측이 쉬운 비밀번호를 사용하고 있었다는 사실을 주 정부가 완곡하게나마 인정한 것이라고 분석했다. 공격자들은 이런 취약성을 이용해, IT 관리자가 서버 데이터를 보호하기 위해 설치해둔 경계와 네트워크, 애플리케이션 단계의 보안 계층을 우회할 수 있었다.
 
사실 쉽게 예방할 수 있는 실수다. 그러나 놀랄 만큼 자주 간과하곤 하는 실수다.
 
지난 3월, 미국 에너지부(DoE) 감독국은 태평양 북서부 지역의 전력 유틸리티 기업을 대상으로 도매 전력의 약 30%를 공급하는 BPA(Bonneville Power Administration)의 정보 보안 감사 결과를 발표했다. 감독국은 재무, HR, 보안 관리를 지원하는 9개 애플리케이션의 취약성을 조사했고, 그 결과 11개 서버가 아주 추측이 쉬운 비밀번호를 사용하고 있다는 사실을 밝혀냈다.
 
취약 비밀번호는 공격자들이 시스템에 완벽하게 접근할 수 있는 취약성이었다. 네 개 서버는 원격 사용자가 접속해 공유 파일을 변경할 수 있도록 설정이 되어 있었다. 또 한 개 서버의 관리자 계정은 기본 비밀번호로만 보호가 되고 있었다.
 
4월 초, 결제대행 업체인 글로벌 페이먼트에서 데이터 누출 사고가 발생해 150만 명의 신용카드 및 현금카드 정보가 새어나갔다. 가트너의 분석에 따르면, 관리자 계정에 쉽게 접근할 수 있도록 되어 있는 취약한 인증 메카니즘이 문제였다. 
 
이뿐만이 아니다. 지난해, 중국 해커들의 미국 상공 회의소(U.S. Chamber of Commerce) 공격이나 오픈 소스인 와인HQ(WineHQ) 데이터베이스 침해 사고 또한 관리자 계정의 취약성이 원인인 것으로 분석됐다. 
 
기업들은 수백 개에서 수천 개의 계정명과 비밀번호를 보유하기도 한다. 이 가운데 상당수는 애플리케이션, 데이터베이스, 네트워크, 운영 시스템에 접근이 가능한 특권 계정이다. 이들 모두가 중요하지는 않다고 하더라도, 만약 악용된다면 전사적으로 큰 혼란을 초래할 수 있는 수많은 계정이 있다.
 
과거 연구 사례들을 살펴보면, 유지보수나 패치와 업그레이드 같은 작업을 위해 관리자 접근이 필요한 사람이 많은데, 책임자가 이를 알지 못하거나 추적하지 않은 경우가 아주 많았다. 그럼에도 불구하고, 많은 기업이 사용자나 관리자가 쉬운 비밀번호나, 더 나아가 기본 비밀번호를 설정해 계정을 보호하도록 허용하고 있다. 
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.