10억 개 이상의 유출된 자격증명 정보를 분석한 결과, '123456'이 142개 중 1개 꼴이라는 분석 결과가 나왔다. '123456'은 매년 가장 많이 쓰이는 최악의 패스워드로 꼽히고 있다.
미국지디넷은 1일(현지시간) 키프로스 소재 대학교의 컴퓨터 공학 전공자인 아타 학실의 이같은 분석 결과를 보도했다.
이번 분석에서 학실은 데이터 침해 사고 이후 온라인 상에 유출된 자격증명 정보10억 개 이상을 분석했다. 이 중 약 1억6천900만건만 고유한 패스워드로 작성됐다. '123456'은 700만개 이상으로 나타났다.
분석된 패스워드의 평균 길이는 9.48자였다. 학실은 보안 전문가들이 패스워드를 최대한 길게, 구체적으로는 16~24자 또는 그 이상으로 설정하도록 권장하고 있는 점을 감안할 때 우수한 수치는 아니지만, 아주 나쁜 결과도 아니라고 평가했다.
전체 자격증명 정보 중 29%는 문자로만 구성돼 있었다. 소문자로만 구성된 경우는 약 26.2%였다. 또 13%는 숫자로만 구성돼 있는 등 해킹에 취약한 패스워드를 사용하는 비중이 상당한 것으로 조사됐다. 특수문자를 포함하고 있는 경우는 약 12%에 그쳤다.
관련기사
- 해킹 당해도 패스워드 안 바꾼다…"3명 중 1명만 변경"2020.06.02
- 해커가 가장 많이 노리는 IoT 패스워드는 초기값 'admin'2020.03.05
- 구글 "전체 웹사이트 로그인의 1.5%가 손상"2019.08.16
- "비밀번호, 특수문자 범벅보다 긴 문장형이 더 안전"2020.02.25
학실에 따르면 이런 자격증명 정보들이 포함된 데이터 덤프는 5년 넘게 존재해왔으며, 깃허브, 깃랩 등 웹사이트나 해킹포럼, 파일 공유 포털 등을 통해 탐색되고 배포되고 있다. 또 새로운 사고가 발생하면서 데이터가 지속적으로 추가되고 있다는 설명이다.
구글, 마이크로소프트, 애플 등 기술 회사들은 이런 데이터 덤프를 수집하고, 이를 토대로 사용자에게 취약하거나 흔한 패스워드를 사용할 때 경고를 주는 시스템을 운영해왔다. 사용자 자격증명 정보가 유출됐는지 확인해주는 서비스인 '해브 아이 빈 폰드(Have I Been Pwned)'도 이 데이터 덤프를 토대로 운영되고 있다.
