비밀번호 해킹 공격이 증가하고 있는 것으로 나타났다. 사용자의 대부분이 비밀번호 이상의 추가 보호 인증 수단을 갖고 있지 않기 때문으로 분석됐다.
미국 지디넷은 8일(현지시간) 마이크로소프트의 '2022년 디지털 방어 보고서'를 인용해 비밀번호 해킹 공격이 증가하고 있다고 보도했다.
마이크로소프트의 보고서에 따르면, 비밀번호 해킹 공격은 초당 921번 발생하는 것으로 나타났다. 이는 1년 만에 74% 증가한 수치다.
비밀번호는 여전히 해커들에게 메인 타깃이 되는 사이버 공격 대상이다. 특히, 많은 계정이 비밀번호 이상의 추가 보호 수단이 없기 때문에 보안을 유지하는 데 취약한 것으로 나타났다.
패스워드 공격은 단순하거나 흔한 비밀번호를 해독하려는 무작위 대입 공격을 포함해 유출된 사용자 이름과 비밀번호를 사용해 피해자가 소유한 다른 계정에 접근하려는 공격, 피해자를 속여 로그인 자격 증명을 넘겨주도록 설계된 피싱 공격 등이 있다.
보고서에 따르면 해킹된 계정의 90%는 '강력한 인증'으로 보호되지 않았다. 즉, 해킹당한 계정의 대다수는 오로지 한 가지 보호 수단만 사용했으며, 다중인증(MFA)의 추가적인 인증 수단을 사용하지 않았다.
그러나 마이크로소프트의 수치에 따르면, MFA로 보호되는 계정의 수는 관리자 계정의 경우에도 여전히 낮은 수준인 것으로 나타났다. 해당 방식으로 보호되는 계정 수는 천천히 증가하고 있지만, 추가 인증으로 보호되는 관리자 계정은 3분의 1 미만 수준이었다.
마이크로소프트는 "많은 사이버공격이 성공하는 이유는 단지 기본적인 보안 위생이 지켜지지 않았기 때문"이라고 말했다. 마이크로소프트는 기본적인 보안 위생만 지켜지더라도 98%의 공격을 막을 수 있다며, 조직과 사용자에게 계정 보호에 도움이 되도록 최소한의 기준을 적용할 것을 촉구했다.
계정을 보호하는 데는 MFA 방식을 적용하는 것도 하나의 방법이다. 마이크로소프트는 최근 자사 인증 앱 '마이크로소프트 오센티케이터' 보안 기능에 '숫자 일치' 기능을 공식 출시하기도 했다.
오센티케이터 앱을 사용해 MFA 푸시 알림에 응답하면 번호가 나타나고, 사용자가 해당 번호를 앱에 입력하면 인증이 완료된다. 마이크로소프트는 해당 기능을 통해 MFA 피로 공격을 통한 우발적인 승인을 막을 수 있다고 말했다.
관련기사
- 마이크로소프트 인증앱, '숫자 일치' 인증 기능 출시2022.10.31
- MS·구글·애플, 비밀번호 없는 로그인 기술 지원 확대2022.05.06
- 삼성·MS 뚫은 해커집단 랩서스, 공격수법 드러났다2022.03.24
- 엔비디아·삼성 해커 "MS 빙·코타나 소스코드 탈취"2022.03.22
이외에도 사용자와 조직이 제로 트러스트 사이버 보안 원칙을 네트워크와 장치에 적용하면, 해커가 손상된 계정을 사용해 단일 로그인으로 시스템에 대한 전체 접근 권한을 얻는 것을 막을 수 있다.
소프트웨어, 애플리케이션 및 운영 체제는 최신 보안 패치를 유지하고, 비밀번호가 해킹된 것으로 의심될 경우 즉시 비밀번호를 변경하고 강력하고 고유한 비밀번호를 사용하는 것이 요구된다.
