Offcanvas

CIO / CSO / How To / 리더십|조직관리 / 보안 / 소프트스킬

‘새 패스워드를 강요하지 말라?’··· 비밀번호 보안에 대한 최신 조언 10가지

2021.04.19 Josh Fruhlinger, James A. Martin  |  CSO

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다. 

노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다.

다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다. 

2020년의 가장 흔했던 비밀번호 10가지 
노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다. 

    123456
    123456789
    picture1
    password
    12345678
    111111
    123123
    12345
    1234567890
    senha

스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은 순위를 차지하고, ‘iloveyou’ 같은 문구 또한 마찬가지이다. ‘password’라는 단어 또한 계속해서 등장한다. 

올해 노드패스의 순위 목록에 추가된 새 단어는 ‘senha’였다. 이는 ‘password’를 의미하는 포르투갈어이다. 이는 브라질의 인터넷 사용 인구가 늘면서 나타나는 현상으로 보인다. 브라질 사람들 역시 영어권 사람들보다 보안에 더 신경을 쓰는 것이 아님이 분명하다. 아래는 지난 3년 동안 가장 흔하게 사용된 비밀번호들이다. 


2018~2020년 최악의 비밀번호 

비밀번호 보안 강화하기
기업들은 멀티팩터인증(MFA) 및 통합인증(single sign-on, SSO) 서비스의 이용을 늘리면서 보안을 강화하고 있다. 그럼에도 불구하고, 로그미인(LogMeIn)의 3차 연례 글로벌 패스워드 보안 보고서(3rd Annual Global Password Security Report(2019))에 따르면 부실한 비밀번호를 고수하는직원이 여전히 많다. 

비밀번호 피로감을 느끼는 직원이 많고 이는 차례로 느슨한 비밀번호 보안으로 이어진다. 로그미인 보고서에서는 직원이 1,001 ~ 1만 명에 이르는 대기업의 이용자는 평균 25개의 비밀번호를 가지고 있다. 문제는 직원이 25명 이하인 소규모 업체의 이용자들에서 더욱 심각하다. 이들은 평균 85개의 비밀번호를 가지고 있다. 언론/광고 업계 직원이 이용하는 비밀번호가 97개로 가장 많았다. 직원당 평균 비밀번호 수가 가장 작은 직종은 54개의 공무원이었다. 

커뮤니티 뱅크텍 공급업체인 네오코바(Neocova)의 CISO이자 전직 CIA 엔터프라이즈 인포메이션 시큐리티(Enterprise Information Security) 부소장인 로버트 오코너에 따르면 비밀번호가 훼손되는 3가지 주요 방식이 있다. 인간에 의한 추측, 알고리즘 무차별 대입 공격에 의한 크래킹, 그리고 데이터베이스이든, 물리적 노트이든, 패스워드가 저장된 장소로의 접근을 통한 입수이다. 

여기서는 전문가들이 말하는 기업 비밀번호의 문제와 비밀번호 및 인증 보안을 향상시키는 조언을 소개한다. 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.