Offcanvas

CSO / How To / 보안

'가장 창의적이지 못한 것이 가장 널리 이용된다'· · · 2019년 최악의 패스워드 25선

2020.02.19 James A. Martin   |  CSO
2013년 이후로 매년 가장 많이 사용하고, 가장 안전하지 못한 비밀번호는 무엇일까? ‘password’라고 생각했다면 거의 맞췄다. ‘Qwerty’도 크게 다르지 않지만 승자는 가장 기본적이고 생각할 수 있는 확실한 비밀번호인 ‘123456’이다.
 
ⓒ Getty Images Bank

그렇다. 스플래시데이터에 따르면, 많은 사람이 여전히 ‘123456’을 비밀번호로 사용하고 있다고 밝혔다. ‘123456’은 2011년과 2012년에 2위를 차지했다가 2013년부터 2019년까지 매년 1위를 차지했다. 스플래시데이터의 최악의 비밀번호 목록은 인터넷상에서 유출된 수백만 개의 비밀번호에 대한 분석에 기반하고 있다.

이 외에도 스플래시데이터의 연례 불명예의 전당에 올라간 안전하지 못한 기타 비밀번호로는 앞서 언급한 ‘password’(항상 상위 5위권, 2011년과 2012년 1위), ‘qwerty’(항상 상위 10위권), 1위보다 조금 더 긴 변종인 ‘12345678’(항상 상위 6위권) 등이 있다.

스플래시데이터 CEO 모건 슬레인은 “실망스럽게도 최신 최악의 비밀번호 목록과 올해의 목록은 크게 다르지 않다”라고 말했다. 왜냐하면 목록의 비밀번호는 대부분 단순하고 기억하기 쉬워서 훨씬 쉽게 해킹 당할 수 있는 비밀번호를 고수하는 소비자들이 생성하기 때문이다.

 
2019년 최악의 비밀번호

스플래시데이터의 2019년 가장 널리 이용되면서도 가장 안전하지 못한 비밀번호는 다음과 같다.

1. 123456
2. 123456789
3. qwerty
4. password
5. 1234567
6. 12345678
7. 12345
8. iloveyou
9. 111111
10. 123123


노드패스(NordPass)와 영국의 국립 사이버보안 센터(National Cyber Security Center, NSSC)의 목록도 스플래시데이터의 발견사항과 대부분 일치한다. 그리고 스플래시데이터의 2018년 목록과 비교해봐도 매년 크게 변하지 않는다. 
 

또한 사이버보안 전문가들이 말하는 기업 비밀번호 문제, 비밀번호 및 인증 보안을 개선하는 방법, ‘비밀번호가 필요없는 미래’의 가능성에 대해 알아보자. 


기업 비밀번호의 문제점

기업들은 보안 강화를 위해 점차 다중 인증(Multi-Factor Authentication, MFA)과 통합 인증(Single Sign-On, SSO) 서비스를 이용하고 있다. 

로그미인(LogMeIn)의 3차 연례 글로벌 비밀번호 보고서(2019년)는 "그렇기는 하지만 너무 많은 직원이 아직도 비밀번호 환경이 좋지 못해 기업의 전반적인 보안을 약화시키고 있다”라고 밝혔다.

많은 직원이 비밀번호 피로를 느끼고 있는 것은 당연한 일이며, 이로 인해 비밀번호 보안이 느슨해진다. 로그미인의 보고서에 따르면, 대기업(직원 1,001~1만 명)의 사용자들은 평균 25개의 비밀번호를 관리해야 한다. 소기업(직원 25명 이하)의 사용자들은 문제가 더욱 심각하다(평균 85개 비밀번호 관리). 미디어/광고 산업 종사자들이 평균적으로 가장 많은 비밀번호(97개)를 사용하는 반면, 정부(가장 낮은 직원 당 평균 비밀번호 수 기록) 직원은 54개의 비밀번호를 사용한다.

로그미인의 ID 및 액세스 관리 책임자 존 베넷은 “비밀번호는 전통적으로 기업의 최전방 방어선이었지만 지속적으로 불만족과 위험을 유발하고 있다. 게다가 대부분의 기업에서 비밀번호 공유 및 재사용이 보편적으로 발생하고 있으며 직원들은 하나의 비밀번호를 평균 13회 재사용하고 있다”라고 말했다.

비승인 IT로 인해 또 다른 문제가 발생한다. 비밀번호 관리 소프트웨어 기업 1패스워드의 COO 매트 대비는 “기업 비밀번호 보안의 가장 큰 문제점은 직원들이 더욱 효율적인 업무 처리를 위해 IT의 감독 없이 서드파티 앱, 서비스, 장치를 사용하는 비승인 IT이다. 직원들이 자신만의 생산성 요령을 터득하면서 ‘자신의 문제는 스스로 해결하라’는 생각으로 인해 IT의 감독을 받지 않는 처음 보는 비밀번호가 등장하고 있다”라고 말했다.

통틀어, 비밀번호 문제로 인해 기업에 상당한 위험이 발생하고 있다. 버라이존의 2019년 데이터 유출 조사 보고서에 따르면, 데이터 유출의 80%가 부실하거나 해킹된 비밀번호로 추적할 수 있다.


기업 비밀번호 보안을 개선하는 방법

- 비밀번호 관리자를 사용하라  
보안 조사 및 컨설팅 기업 갈루아(Galois)의 암호 기법 및 다자 연산 수석 과학자 데이비드 아처 박사는 "비즈니스 사용자용 비밀번호 관리 애플리케이션(1패스워드, 대시레인, 라스트패스 등)은 비밀번호와 관련된 보안 위험을 효과적으로 낮추는 첫 단계"라고 말했다. 

아처는 "기업 사용자들이 비밀번호 관리자를 이용해 모든 알파벳 옵션을 켠 상태(대소문자 혼합 등)로 긴 비밀번호를 생성해 보관하도록 해야 한다"라고 조언했다. 아처는 "비밀번호 관리자를 사용하면 사용자는 비밀번호 관리자 앱의 비밀번호와 사용자가 매일 로그인하는 컴퓨터 계정의 비밀번호 등 2개의 비밀번호만 기억하면 된다"라고 덧붙였다.

- MFA를 사용하라  
MFA 인자에는 자신이 알고 있는 것(비밀번호), 보유하고 있는 것(스마트폰 등의 장치), 자신의 신원(지문 또는 얼굴 인식 스캔)이 포함된다. 액센추어 시큐리티의 글로벌 사건 대응 책임자 저스틴 하비는 "강력하고 유일무이한 비밀번호를 사용하는 것 외에 모바일 장치로 전송된 코드 등의 인증을 요구하기 위해 MFA를 사용하면 기업 보안이 더욱 강력해진다"라고 말했다.

- 사전에 나오는 단어를 이용한 비밀번호 생성을 금지하라
무작위 대입 사전 공격에서 범죄자는 비밀번호를 알아내기 위해 사전에 나오는 모든 단어를 조직적으로 입력하는 소프트웨어를 사용한다. 이런 공격을 차단하기 위해 많은 전문가가 사전에 있는 단어를 사용하지 않도록 조언했다.

- 자신에 관한 정보가 담긴 비밀번호를 금지하라 
배우자, 애완동물, 거주 도시, 고향의 이름, 기타 개인 식별 정보는 사용자의 소셜 미디어 계정에서 추론할 수 있기 때문에 사용하지 말자. 대비는 “해커는 비밀번호가 ‘D2a5n6fian71eTBa2a5er’이라는 사실보다 ‘애완동물의 이름+1234’를 비밀번호로 추측할 가능성이 높다”라고 말했다.
  
- 안전한 비밀번호에 대한 사용자 교육을 시행하라
아처 박사는 "안전한 비밀번호는 공개적인 영역(사전 등)과 사적인 영역(사용자의 다른 계정 등)에 등장하지 않으며 무작위 대입 또는 레인보우 테이블 기법을 사용해도 비밀번호를 추측하는데 영겁의 시간이 소요되는 충분한 무작위 문자가 포함되어 있다"라고 말했다.

- 정기적인 비밀번호 감사를 수행하라
시놉시스 CyRC(Synopsys Cybersecurity Research Center)의 수석 보안 전략가 팀 맥키는 "조직이 비밀번호 감사가 가능한 인증 시스템을 사용하는 것이 이상적"이라며, "직원들의 비밀번호 재사용 또는 보편적인 단어 또는 단순히 문자가 대체된 보편적인 단어 사용에 주목하자. 취약한 비밀번호가 발견되면 그 이벤트를 사용자들을 위한 학습 기회로 활용하라"라고 조언했다. 

- 실수를 비난하지 말라 
1패스워드의 대비는 "직원들이 특히 스스로 실수를 했다고 예상되는 경우 편안하게 보안에 대해 질문하고 우려를 표할 수 있는 환경을 구성하라"라고 조언했다. 대비는 “사람들을 비난하지 말라”면서, "왜냐하면 실수를 했을 때 두려워서 말하지 않을 수도 있기 때문이다. 보안 문제가 발생했을 때 파악할 수 있으면 초기 위협을 신속하게 해결하고 조치를 취해 미래에 발생하지 않도록 방지할 수 있다”라고 말했다. 

- 모든 문자 유형을 이용한 비밀번호를 생성하라 
온라인 기술 지식 베이스 테크로리스(TechLoris)의 CEO 쉐인 셔먼은 "훌륭한 비밀번호에는 대소문자, 숫자, 기호가 포함된다"며, "비밀번호를 사용자의 이전 비밀번호와 비교해 인크리멘트(Increment)를 방지하는 알고리즘을 사용하라"라고 말했다. 

곧 비밀번호가 필요없는 미래가 올까
가까운 미래에는 생체인식 얼굴 및 지문 스캔 등의 대안 인증 형태 덕분에 취약하고 강력한 비밀번호에 대한 우려가 필요 없어질까? 일부 사이버보안 전문가들은 비밀번호가 사라지지 않을 것이라 생각한다. 

시놉시스 CyRC의 맥키는 “비밀번호는 완전히 사라지지 않을 것이다”라며, “SSO 또는 소셜 미디어 인증 패러다임이 사용되고 있지만 여전히 사용자를 확인해야 할 필요성이 있다. 생체인식 솔루션의 전망이 밝지만 이런 솔루션은 다중인증 전략의 추가적인 인자로써 도입되는 것이 가장 좋다"고 말했다.

주니퍼 네트웍스의 글로벌 보안 전략 책임자 로렌스 피트는 "생체인식 인증은 단점이 있다"며, “생체인식의 단점 중 하나는 신용카드를 훔치듯이 쉽게 훔칠 수 있다는 점이다. 또 다른 단점은 이런 인증 방법이 적합하지 않은 환경이 있다는 점이다. 이로 인해 사람들은 비밀번호 전용 인증밖에 사용하지 못할 수 있으며, 이것으로는 부족하다"라고 말했다.

카람바 시큐리티의 수석 과학자 겸 설립자 아사프 하렐은 "사물인터넷(IoT) 장치로 인해 비밀번호가 필요없는 미래에 대한 희망에 복잡성이 추가된다"라고 말했다. 사물인터넷 장치들은 일반적으로 추측이나 검색이 쉬운 기본 비밀번호가 제공된다. 그래서 DoS(Denial of Service) 캠페인을 위한 수동적인 장치를 찾는 미라이 등의 많은 봇넷의 피해자가 될 수 있다. IoT 장치 때문에 다중 인증을 단일 목적 장치로 통합해 봇넷 확보를 더욱 어렵게 하는 방법을 새로운 관점에서 살펴봐야 한다. 

하지만 일부 전문가들은 우리가 비밀번호가 필요없는 미래를 향해 나아가고 있다고 생각한다. 원격 기술 지원 플랫폼 EVAN360의 공동 설립자 피터 퍼슬은 “변화에는 시간이 소요되지만 결국 비밀번호가 필요없는 세상이 올 수도 있다”라고 말했다. 한편, 퍼슬은 얼굴 및 지문 스캔, USB 보안 키, 음성 생체인식 등의 보안 조치로 인해 기업들은 점차 발전된 사용자 인증을 이용하게 될 것이라고 말했다.

예를 들어, 퍼슬은 2017년 구글이 모든 직원으로 하여금 비밀번호와 1회성 코드 대신에 물리적인 보안 키를 사용하도록 요구했다고 지적했다. 구글은 그 덕분에 1년 후 어떤 직원도 피싱을 당하지 않았다고 밝혔다.

맥아피 CIO 스콧 호위트는 “생체인식 덕분에 우리는 분명 비밀번호로부터 자유로워지고 인증이 더 쉬우면서 신뢰도가 증가할 것이다. 과거 얼굴 인식 등의 생체인식의 문제는 그런 시스템을 구동하기 위해 필요한 컴퓨터의 성능이었다. 지금은 이런 시스템을 클라우드로 구동할 수 있으며 빠르고 효율적이다. 핵심은 생체인식이 훨씬 사용하기 쉽고 신뢰할 수 있다는 점이다. 사용자들은 구성하는 생체인식이 실제로 편의성을 증대시킨다는 점을 신뢰할 수 있어야 한다”라고 설명했다.

RSA의 ID 및 사기와 위험 정보 제품 부사장 짐 두참은 “궁극적으로 진정으로 비밀번호가 필요없는 인증을 위한 여정이 필요할 것이다. 현재 모든 비밀번호가 필요없는 인증은 계정 등록 및 복구를 위해 비밀번호와 사용자 이름에 기초하고 있으며 이에 의존하고 있다. 얼굴 및 지문 IT 등의 비밀번호가 필요없는 인증은 여러 장치에서 보편적으로 활용되고 있지만 계정은 비밀번호가 필요하고 장치를 분실 또는 도난당하는 경우 비밀번호를 이용해 계정을 복구한다”라고 말했다.

비밀번호가 필요없는 세계를 완성하려면 자격 증명 등록, 복구, 사용자가 생체인식 또는 FIDO(Fast Identity Online) 기능을 지원하지 않는 장치에서 안전하게 인증할 수 있는 방법을 고려하는 접근방식이 필요하다.

두참은 “비밀번호를 완전히 없애기 위해서는 더욱 안전한 등록 및 복구 메커니즘과 결합되고 위험 기반 인증과 합쳐진 새로운 인증 방법이 핵심이다. 아니면 최소한 이를 통해 비밀번호의 복잡성이 크게 감소해 4자리 PIN처럼 보일 수도 있을 것이다”라고 말했다. editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.