랜섬웨어 등 이익을 노린 사이버 공격의 급증으로 기업들은 이를 막기 위한 보안 시스템 구축에 여념이 없다.
하지만 관련 업계에서는 이러한 보안 시스템 구축에 앞서 임직원을 대상으로 철저한 보안 교육을 실시하는 것이 중요하다고 강조하고 있다.
아무리 보안환경을 철저하게 구축하더라도 기업 시스템에 접근하기 위한 아이디와 비밀번호, 개인인증 정보가 허술하게 관리된다면 효력을 발휘할 수 없기 때문이다.
최근 사이버 보안 회사 아웃포스트 24는 글로벌 기업 IT관리자 계정의 비밀번호를 180만 개 이상 분석한 결과 보고서를 발표했다.
보고서에 따르면 분석한 관리자 계정에서 4만개 이상 사용되며 가장 자주 사용된 비밀번호는 ‘admin’으로 나타났다.
관리자를 뜻하는 admin은 관리자 계정을 설정할 때 기본으로 저장되는 비밀번호 중 하나다. 즉, 4만 개 이상의 관리자 계정은 생성 후 한 번도 비밀번호를 바꾸지 않은 채 그대로 사용된 셈이다.
이 밖에도 자주 사용된 비밀번호는 123456, 12345678, Password, admin123, demo, root, 123123, admin@123, 123456aA@, 01031974, 111111 등으로 나타났다. 대부분 기본 설정 비밀번호이거나 뒤에 간단한 숫자를 붙이는 경우가 다수다.
관리자 계정은 시스템 내 모든 곳을 제약없이 접근할 수 있으며, 모든 직원의 정보를 보고 조정할 수 있는 만큼 높은 수준의 보안이 요구된다.
랜섬웨어 등의 공격을 가하는 사이버범죄 조직은 관리자를 대상으로 개발자, 투자자, 인사담당자, 정부관계자 등으로 위장해 피싱 공격을 가해 해당 정보를 탈취하는 작업을 필수적으로 실시한다.
버라이즌 데이터 침해 조사 보고서에 따르면 사이버 공격 피해의 74%가 사용자의 부주의와 피싱 공격을 통한 자격증명 도난으로 나타났다.
하지만 보고서에 조사된 간단한 비밀번호를 사용할 경우 이러한 기반 작업 없이 간단한 비밀번호 대입 공격 만으로도 보안 시스템을 무산시킬 수 있어 개선이 필요하다.
아웃포스트24의 보안연구원은 많은 기업에서 부실한 비밀번호를 사용하는 이유에 대해 보안에 대한 부족한 인식과 보안 정책의 영향이 크다고 밝혔다.
아웃포스트의 대런 제임스 수석 제품관리자는 "수많은 조직의 IT시스템은 인터넷이 생활 방식으로 자리잡기 전부터 사용됐으며, 그 만큼 보안에 대한 고민이 뒷받침 되지 않았다"며 "또한 이후에도 비밀번호 변경 방법 등의 보안 지침이 제공되지 않아 여전히 오래되고 짧은 비밀번호를 사용하는 경우가 많다"고 설명했다.
아웃포스트는 기업의 보안을 강화하기 위해선 조직은 올바른 보안 정책을 수립하고 적극적으로 적용하고 알려야 한다고 강조했다.
임직원은 할당된 계정의 초기 설정 암호를 즉시 변경해야 하며, 관리자 계정은 2개의 비밀번호를 사용할 수 있어야 한다.
2개의 비밀번호를 사용하는 것은 관리자의 역할을 나누기 위한 것으로 한 비밀번호는 이메일 관리, 조사 수행 등의 업무에 활용되며 다른 비밀번호는 권한할당, 계정 분석 등을 담당해야 한다.
대런 제임스 수석 제품관리자는 “비밀번호는 무작위 대입공격을 방지하기 위해 연관성 없는 단어를 조합해 15자 이상으로 길게 만드는 것이 유리하다”고 설명했다.
더불어 다중요소인증(MFA) 사용을 필수화 할 것을 권장했다. MFA는 비밀번호와 함께 추가적인 사용자 인증 시스템을 더해 보안을 강화하는 기술로 스마트폰 인증, 생체인증 등이 주로 쓰인다
대런 제임스 수석 제품관리자는 “사이버 공격의 주요 표적인 관리자 계정은 길고 보안 정책에 위배되지 않은 비밀번호를 사용하고 정기적인 변경이 필요하다”며 “하지만 너무 자주 바뀌고 암호가 복잡해질 경우 정작 관리자가 비밀번호를 못 외우는 등의 문제가 발생할 수 있는 만큼 MFA 등을 연계해 보안 수준을 높이는 것이 효율적이다”라고 설명했다.
관련기사
- 5분 만에 해킹 완료, 깃허브 사용 주의2023.11.01
- 안랩, 급여 명세서 위장 악성코드 유포 주의2023.10.29
- "개인정보 불법 유통 심각"...네이버·트위터, 대책 마련 약속2023.10.26
- 선관위, 가상해킹에 취약점 노출…국정원 "보안, 낙제수준"2023.10.10
더불어 그는 사용 중인 PC나 스마트폰에 개인정보를 탈취하는 악성코드 등이 설치돼 있는지 확인하기 위한 보안 도구를 수시로 실행하고, 피싱 공격을 막기 위해 항상 이메일과 사이트를 주의 깊게 확인해야 한다고 지적했다.
이어서 “많은 허점이 있지만 비밀번호는 앞으로도 인증 과정의 핵심 요소로 남을 것으로 예상된다”며 “그 만큼 기업은 비밀번호의 중요성을 임직원에 알리고, 안전하게 관리하기 위한 노력이 필요하다”고 말했다.
