2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘passwo
노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다.
다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.
2020년의 가장 흔했던 비밀번호 10가지
노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.
123456
123456789
picture1
password
12345678
111111
123123
12345
1234567890
senha
스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은 순위를 차지하고, ‘iloveyou’ 같은 문구 또한 마찬가지이다. ‘password’라는 단어 또한 계속해서 등장한다.
올해 노드패스의 순위 목록에 추가된 새 단어는 ‘senha’였다. 이는 ‘password’를 의미하는 포르투갈어이다. 이는 브라질의 인터넷 사용 인구가 늘면서 나타나는 현상으로 보인다. 브라질 사람들 역시 영어권 사람들보다 보안에 더 신경을 쓰는 것이 아님이 분명하다. 아래는 지난 3년 동안 가장 흔하게 사용된 비밀번호들이다.
2018~2020년 최악의 비밀번호
비밀번호 보안 강화하기
기업들은 멀티팩터인증(MFA) 및 통합인증(single sign-on, SSO) 서비스의 이용을 늘리면서 보안을 강화하고 있다. 그럼에도 불구하고, 로그미인(LogMeIn)의 3차 연례 글로벌 패스워드 보안 보고서(3rd Annual Global Password Security Report(2019))에 따르면 부실한 비밀번호를 고수하는직원이 여전히 많다.
비밀번호 피로감을 느끼는 직원이 많고 이는 차례로 느슨한 비밀번호 보안으로 이어진다. 로그미인 보고서에서는 직원이 1,001 ~ 1만 명에 이르는 대기업의 이용자는 평균 25개의 비밀번호를 가지고 있다. 문제는 직원이 25명 이하인 소규모 업체의 이용자들에서 더욱 심각하다. 이들은 평균 85개의 비밀번호를 가지고 있다. 언론/광고 업계 직원이 이용하는 비밀번호가 97개로 가장 많았다. 직원당 평균 비밀번호 수가 가장 작은 직종은 54개의 공무원이었다.
커뮤니티 뱅크텍 공급업체인 네오코바(Neocova)의 CISO이자 전직 CIA 엔터프라이즈 인포메이션 시큐리티(Enterprise Information Security) 부소장인 로버트 오코너에 따르면 비밀번호가 훼손되는 3가지 주요 방식이 있다. 인간에 의한 추측, 알고리즘 무차별 대입 공격에 의한 크래킹, 그리고 데이터베이스이든, 물리적 노트이든, 패스워드가 저장된 장소로의 접근을 통한 입수이다.
여기서는 전문가들이 말하는 기업 비밀번호의 문제와 비밀번호 및 인증 보안을 향상시키는 조언을 소개한다.
의무적으로 패스워드 매니저 사용. 비즈니스 이용자를 위한 패스워드 관리 애플리케이션은 (원패스워드(1Password), 대시레인(Dashlane), 라스트패스(LastPass) 등) 비밀번호와 연계된 보안 위험을 줄이는 효과적인 첫 단계라고 보안 리서치 및 컨설팅 회사인 갈로이스(Galois)의 암호 기술 및 멀티 파티 컴퓨테이션 수석 과학자인 데이비드 아처 박사는 조언했다.
그는 비즈니스 이용자들이 비밀번호 매니저를 이용해 모든 알파벳 옵션과 함께 (대소문자 혼용 등) 긴 비밀번호를 생성하고 보관하도록 권고한다. 비밀번호 매니저가 정착되면 이용자는 2개의 비밀번호만 기억하면 된다. 다시 말해 비밀번호 매니저 앱의 비밀번호와 이용자가 매일 로그인하는 컴퓨터 계정의 비밀번호이다.
의무적으로 멀티팩터인증(MFA)을 이용. MFA 요소는 이용자가 알고 있는 것(비밀번호), 이용자가 가지고 있는 것(스마트폰 등의 기기), 이용자 신원 정보를 (지문 또는 안면 인식 스캔) 포함한다. MFA를 이용해 모바일 기기로 전송된 코드 등 인증을 요구하고, 아울러 강력하고 독자적인 비밀번호를 이용한다면 기업 보호를 향상시키는 데 도움이 될 수 있다고 액센츄어 시큐리티(Accenture Security)의 글로벌 사건 대응 책임자인 저스틴 하비는 말했다.
사전에 나온 단어로 비밀번호 생성 금지. 브루트-포스 사전 공격(brute-force dictionary attack)에서 범죄자는 사전 내의 모든 단어를 시스템적으로 입력하는 소프트웨어를 이용해 비밀번호를 알아낸다. 이 공격을 차단하려면 사전에 나온 단어를 사용하지 말라고 전문가들은 권고한다.
길이가 중요하다, 단어보다 긴 문장을 이용하기. 웹루트(Webroot)의 수석 보안 애널리스트인 타일러 모피트는 ‘길이가 힘이다’라고 말한다. 그는 “암호학적 측면에서, 긴 비밀번호는 심지어 특수 문자가 포함된 짧은 비밀번호보다 해독하기가 훨씬 더 힘들다. ‘AN3wPw4u’ 같은 비밀번호보다 ‘SnowWhiteAndTheSevenDwarves’ 같은 비밀번호가 암호 크래커에게는 훨씬 더 어렵다”라고 말했다.
자신에 대한 정보가 포함된 비밀번호 사용을 지양. 비밀번호 안에 배우자, 애완동물, 거주지, 출생지의 이름이나 여타 개인 식별 정보를 사용하면 안 된다. 이 정보는 이용자의 소셜 미디어 계정으로부터 유추될 수 있기 때문이다. 데이비는 “‘애완동물 이름+1234’라는 비밀번호는 ‘D2a5n6fian71eTBa2a5er’이라는 비밀번호보다 추측하기가 훨씬 쉽다”라고 말했다. 맥키퍼(MacKeeper)의 CIO인 알렌산드르 매클라코프는 ‘ImgoingtorunBostonMarathon2022’ 같은 긴 비밀문구를 사용하고, 쉽게 탐색될 수 있는 개인 정보는 포함시키지 말라고 조언했다.
강력한 비밀번호를 만드는 요소에 관한 이용자 교육. 강력한 패스워드는 공적인 영역 (예. 사전), 사적인 영역에서 (예. 이용자의 다른 계정) 나타나지 않고, 무작위 문자를 충분히 포함하고 있어 무차별 대입 공격이든 레인보우 테이블 기법이든 비밀번호를 추측하기가 불가능할 정도라고 아처는 말했다.
인포섹(Infosec)의 보안 엔지니어인 캐머런 벌랜더는 이 점을 알리기 위해 비밀번호 크래킹 과정을 실제로 보여주도록 제안한다. 그는 “이들 가운데 많은 툴은 악의적 의도로 사용될 수 있지만, 보안 전문가는 비밀번호에 복잡성을 추가하는 것이 공격, 특히 무차별 대입 공격으로부터 이용자를 보호할 수 있는 지를 실제로 보여주는 데 이들을 사용할 수 있다”라고 말했다.
정기적으로 비밀번호 감사를 실시. 이상적으로, 조직은 비밀번호 감사를 제공하는 인증 시스템을 이용해야 한다고 CyRC(Synopsys Cybersecurity Research Center)의 수석 보안 전략가인 팀 맥키는 말했다. 그는 “직원들의 비밀번호 재사용이나 일반적인 단어, 단순한 대체 문자를 삽입한 일반적인 단어를 이용하는 지 조사해야 한다. 취약한 비밀번호를 발견했다면 이를 이용자 학습 기회로 활용하라”라고 말했다.
-> 비밀번호 관리 앱의 장단점 7가지
-> 2014년 최악의 비밀번호도 ‘123456’과 ‘password’…전년보다 감소
-> 비밀번호 사용을 줄인다··· ‘FIDO’의 의미와 인증 프로세스
-> 블록체인이 만드는 비밀번호 없는 세상
이용자가 비밀번호를 스스로 점검하도록 장려. 비밀번호를 사용하기 전에 해당 비밀번호가 얼마나 안전한지 조사할 수 있게 해주는 도구가 많이 있다. 예를 들어 맥키퍼(MacKeeper)의 매클라코프는 마이원로그인(My1Login)의 패스워드 스트렝스 테스트(Password Strength Test)를 제안했다. 이는 일반적인 알고리즘이 이용자의 패스워드를 크랙하는 데 걸리는 시간을 알려준다. 그는 또한 다크웹에서 유통되는 해킹된 인증정보의 광범위한 데이터베이스에 이용자의 비밀번호를 대조하는 ‘해브 아이 빈 포운드?(Have I Been Pwned?)’ 또한 추천했다.
실수를 비난하지 말라. 직원들이, 특히 자신이 실수를 했을지 모른다고 생각하는 경우, 보안에 관한 질문이나 우려를 거리낌없이 제기할 수 있는 환경을 조성하라고 원패스워드(1Password)의 데이비는 말했다. 그는 “사람들을 비난하지 말라”고 말했다. 실수를 했을 때 이를 밝히는 것을 두려워할 수 있기 때문이다. 그는 “보안 문제가 발생할 때 이를 안다면 초기 위협에 대처할 수 있을 정도로 신속히 행동할 수 있고, 미래의 재발을 방지하는 조치를 취할 수 있다”라고 말했다.
한가지 유의 사항 : 바람직한 비밀번호 원칙이 진화하고 있다. 과거에 당연하다고 여겨진 여러 조언이 이제는 결함이 있거나 시대착오적일 수 있다. 예를 들어 이 분야의 최고의 표준으로 널리 인정받는 NIST의 비밀번호 가이드라인의 최신 버전에서는 패스워드를 정기적으로 교체하도록 권하는 기존의 관행에 반대한다. 고품질 비밀번호를 여러 개 만드는 것은 부담스럽기 때문이고, 결국 이전 비밀번호를 예측 가능한 방식으로 변경하는 경우가 많기 때문이다. 예를 들어 달러 기호를 문자 S로 대체하는 것 등이다.
또한 NIST는 이용자가 비밀번호를 입력할 때 이를 나타나게 하도록 권고한다. 이는 더 길고, 더 복잡한 비밀번호를 떠올릴 수 있는 확률을 높인다. 이는 악의적인 사람이 어깨너머로 비밀번호를 훔쳐볼 위험을 상쇄하고도 남는다. 요약하자면, 다른 보안 프로그램과 마찬가지로 비밀번호 정책 역시 진화해야 한다.
dl-ciokorea@foundryco.com
