기업 중 80%는 패스워드 정책을 운영하고 있지 않은 것으로 드러났다. 사용되는 패스워드 중 15~20%는 회사 이름을 포함하고 있는 등 취약한 상태로 조사됐다.
패스워드 정책을 시행 중인 조직도 기본 패스워드 위주로 사용하고 있으며, 이 중 50% 가량은 취약한 패스워드인 것으로 나타났다.
8일 글로벌 보안 기업 아크로니스는 자사 사이버 보호 운영 센터가 실시한 조사 내용을 공개하면서 이같이 밝혔다.
회사는 최근 발생한 오리온 해킹 사건에서 솔라윈즈의 서버 업데이트 패스워드가 'solarwinds123'였던 점, 도날드 트럼프 미 전 대통령의 트위터 계정의 패스워드가 'maga2020!'로 알려진 것 등 일련의 사례에서 패스워드 관리의 위험성이 잘 나타나고 있다고 강조했다.
공격자는 이런 취약한 패스워드 관행이 널리 퍼져 있다는 점을 악용하고, 코로나19로 인해 원격근무 중인 임직원을 노리고 있다는 설명이다. 이번 조사에서 아크로니스는 작년 한 해 동안 무차별적인 공격 횟수가 급증했고, 피싱에 이어 패스워드를 탈취하는 ‘스터핑’ 공격이 2번째로 많이 사용됐다고 밝혔다.
서호익 아크로니스코리아 지사장은 “팬데믹 이후 원격근무가 급격히 늘어나며 클라우드 기반 솔루션 도입이 가속화됐지만, 이 과정에서 많은 기업들이 사이버 보안과 데이터 보호 요구 사항들을 충족하지 못했다"며 "이제 개인정보 보안이 사이버 보호 전략의 핵심 영역으로 떠오르고 있는 만큼 원격근무자를 위한 강력한 보호책이 필요한 시점”이라고 말했다.
관련기사
- 유출된 패스워드, 142개 중 1개는 '123456'2020.07.02
- 해킹 당해도 패스워드 안 바꾼다…"3명 중 1명만 변경"2020.06.02
- 구글 크롬, 보안 취약 웹환경서 패스워드 입력시 '경고' 띄운다2020.08.18
- MS 엣지, 사용자 정보 '다크웹' 유출 여부 알려준다2020.03.31
아크로니스는 보안 기업 테시안 보고서를 인용, 직원 중 48%가 재택근무 시 데이터 안전 규정을 따르지 않는 경향이 있다고 지적했다. 이같은 현상에 기업이 데이터 유출에 따른 재정적 영향도 급증할 것으로 전망했다. 실제로 지난해 기업 1천여곳 이상이 랜섬웨어 공격으로 데이터 유출을 겪은 것으로 나타났다.
피해를 예방하기 위해 아크로니스는 데이터 접근에 대한 인증 요건을 강화해야 한다고 조언했다. 구체적으로는 ▲다중인증(MFA)의 표준화 ▲별도의 안전한 영역을 상정하지 않는 보안 모델 '제로 트러스트' 채택 ▲사용자 및 개체 행동 분석(UEBA)을 통한 보안 체계 자동화 등을 제안했다.