[Security News] 개인용 ID와 비밀번호, 혹시 회사 계정에도 쓰시나요?

※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.

계정과 비밀번호는 서비스에 접근하려는 사람이 본인임을 인증하고, 접근 권한을 얻는 1차적인 수단입니다. 우리는 많은 곳에서 이러한 계정과 비밀번호를 사용하고, 친구와 연락하는 메신저, 콘텐츠를 보고 듣는 스트리밍 서비스처럼 일상적인 것은 물론, 은행 같은 금융기관을 이용하거나 회사 업무 시스템에 접속하는 등 다양한 목적으로 계정을 생성하고 비밀번호를 설정합니다.

[사진=utoimage]

이러한 계정과 비밀번호를 노리는 공격 역시 증가하는 추세입니. CDN 기업 아마카이가 발간한 ‘2020 인터넷 현황 보고서’에 따르면 최근 2년간 전세계에서 총 880억 건에 이르는 ‘크리덴셜 스터핑(Credential stuffing)’, 즉 비밀번호를 마구잡이로 대입해 탈취하려는 공격이 발생했습니다. 이러한 공격이 성립할 수 있는 이유는 많은 사용자가 다양한 서비스를 이용하면서도, 여러 서비스에 동일한 ID와 비밀번호를 사용하는 경향이 있기 때문입니다. 특히, 개인용 서비스에 이용하던 ID/PW를 업무용 계정에도 쓰는 경우가 있어 주의가 필요합니다.

국내 상황은 어떨까요? 한국인터넷진흥원(KISA)이 실시한 설문조사에 따르면 개인/업무 계정에 동일한 ID를 사용하는 사람이 557명(전체 응답자의 26.46%)며, 이 중 170명은 비밀번호까지 완전히 동일한 것으로 나타났습니다.

▲개인 ID/PW와 업무 ID/PW를 구분하는가[표=한국인터넷진흥원]

KISA는 지난 8월 19일부터 8월 25일까지 2,105명을 대상으로 계정관리 보안실태 설문조사를 진행했습니다. 이번 설문조사에 참여한 연령은 30대가 45.75%, 40대가 24.23%, 20대가 22.09%였으며, 비IT 기업에서 비IT업무에 종사하는 사람이 52.07%로 가장 많았습니다(비IT기업 IT업무 12.73%, IT기업 비IT업무 13.97%, IT기업 IT업무 12.78% 등).

설문 참여자 중 업무용 ID와 개인 ID를 구분한다고 응답한 사람은 1.313명(62.38%)이며, 모든 서비스마다 다른 ID를 사용하는 사람은 전체의 3.09%(65명)에 불과했습니다. 구분 없이 개인/업무에 완전히 동일한 ID를 사용한다고 응답한 사용자도 557명(26.46%)로 나타난 만큼 기업 차원에서 구성원의 인식 제고를 위한 교육 및 보안관리 강화가 필요할 것으로 보입니다.

▲ID를 용도와 서비스별로 구분하는가[표=한국인터넷진흥원]

비밀번호는 어떨까? 이용하는 ID마다 비밀번호를 완전히 다르게 설정한다고 응답한 사용자는 874명(41.52%)로 과반에 못 미쳤으며, 은행 등 주요 사이트만 다르게 설정하는 사용자는 832명(39.52%) 등으로 나타났습니다. 완전하게 동일한 비밀번호를 쓰는 사람도 399명(18.95%)으로 조사됐습니다. 특히, 앞선 설문에서 사용 목적별로 ID를 구분해 쓴다고 응답한 사용자 중에서도 각각의 ID마다 비밀번호는 동일하게 설정하는 경우가 51.28%나 됐습니다.

또한, 이러한 비밀번호 생성에 자신의 개인정보를 활용하는 경우도 많았습니다. 전체 응답자 중(복수응답 가능) 비밀번호에 생일이나 주민등록 번호를 사용하는 사람은 32.54%, 전화번호는 25.56%, 이름은 24.85% 등이었습니다.

▲ID별 PW를 구분하는가[표=한국인터넷진흥원]

2단계 인증을 사용하지 않는 경우도 의외로 많았습니다. 전체 응답자 중 35.49%(747명)는 2단계 인증을 사용하지 않는다고 답했으며, 이 중 93명은 2단계 인증 방식을 몰랐습니다. 2단계 인증의 경우 ID와 비밀번호를 통한 1단계 인증과 동시에 OTP, 보안카드, 문자메시지 등 추가적인 수단을 이용해 한번 더 사용자를 인증하는 방식입니다. 1단계 인증용 비밀번호가 노출되더라도 2단계 인증수단에 대한 관리만 철저하다면 상대적으로 안전하게 정보를 보호할 수 있는 만큼 이에 대한 안내와 홍보를 강화할 필요가 있습니다.

ID와 비밀번호를 별도로 기록하거나 관리하지 않는다고 답한 응답자는 전체의 35.87%(755명)입니다. 이는 ID와 비밀번호를 모두 외운 것이라기보다는, 동일한 ID/PW를 여러 서비스에 공통적으로 사용하기 때문으로 볼 수 있습니다.

이러한 비밀번호를 암기하지 않고, 별도로 기록해 보관하는 응답자는 전체의 2/3 정도입니다. 수첩이나 지갑 등에 수기로 기재하는 사람은 19.43%(409명), USB나 스마트폰 등에 문서로 저장하는 사람은 16.44%(346명), 비밀번호 관리 프로그램을 사용하는 사람은 15.82%(333명), 운영체제 또는 웹 브라우저의 저장기능을 사용하는 사람은 12.45%(262명) 등 비교적 다양한 방법을 사용하는 것으로 나타났습니다.

▲ID/PW는 어떻게 보관·관리하는가[표=한국인터넷진흥원]

여러 서비스에 동일한 ID와 비밀번호를 사용할 경우, 하나의 사이트에서 탈취당한 정보가 다른 서비스의 침해사고로 이어질 수 있습니다. 특히, 업무용 ID까지 동일하게 사용한다면 개인정보 유출을 넘어 기업보안까지 위협할 수도 있습니다.

최근 각종 서비스에서 대/소문자·숫자·특수문자 등이 섞인 복잡하고 긴 비밀번호를 요구하고 있으며, 약 3개월을 주기로 로그인 시 비밀번호를 교체하라는 메시지를 보내고 있습니다. 하지만 이처럼 보안을 강조하기 위해 만든 정책이 오히려 보안 구멍이 될 가능성도 존재합니다. 평소 사용하던 비밀번호에 느낌표(!)나 별(*)을 하나 추가하는 수준으로 비밀번호 정책에 맞추기도 하며(예를 들면 Qwerty12!@), 이렇게 외우기 쉬운 비밀번호를 다양한 서비스에 동일하게 쓰는 것이 현실입니다.

이번 설문조사 결과가 시사하는 건 각 서비스마다 다양한 ID와 비밀번호를 생성해 보안사고를 예방해야 한다는 점입니다. 특히, 각 서비스마다 ID/PW를 별도로 지정하게 되면 개인이 모두 기억하기 어려운 만큼, 이를 보관·관리하는 방식에 대해서도 알릴 필요가 있습니다. 뿐만 아니라 “비밀번호를 주기적으로 바꾸라”거나 “복잡하게 설정하라”는 기존 권고만으로는 오히려 보안 공백이 발생할 수 있으니 2단계 인증 수단을 적극 활용해야 한다는 점도 잊지 말아야 합니다.

출처 : 보안 뉴스