123456과 password, 최고 인기 높은 비밀번호로 선정
비밀번호 재사용은 사이버 공간에서의 가장 위험한 행위

[보안뉴스 문가용 기자] 보안 전문가들에게 있어 가장 지긋지긋한 문제 중 하나는 사용자들의 비밀번호 설정 습관이다. 오랜 시간 가장 기본적이면서도 가장 안 고쳐지는 문제로 남아있는데, 올해도 어김이 없었다. 최근 리서치 전문업체인 스플래시데이터(SplashData)가 2016년을 장식한 최악의 비밀번호를 조사했는데, 역대 순위와 크게 다르지 않았다.



스플래시데이터는 당연히 현재 사용 중인 비밀번호를 사용자들에게 묻고 다닐 수가 없어 지난 한 해 동안 기업이나 기관으로부터 도난당한 암호 약 5백만 개를 조사해 실제 사용자들이 가장 즐겨 사용하는 비밀번호가 무엇인지를 파악했다고 한다. 그 결과 가장 인기가 높은 비밀번호들은 비밀번호라고 부르기가 민망할 정도의 수준이었다.

5백만 개의 도난 암호 중 가장 널리 사용되고 있던 건 123456으로, 전체의 약 4%를 차지하고 있었다. 그 다음은 password가 바짝 뒤를 쫓고 있었으며, 3위는 12345가 차지했다. 사용자들은 ‘안전함’보다 ‘간편함’ 혹은 ‘외우기 쉬움’을 더 중요한 요소로 여기고 있다는 것이 드러났다. 스플래시데이터가 공개한 ‘인기 높은’ 비밀번호는 순서대로 다음과 같다.

123456
password
12345
12345678
football
qwerty
1234567890
1234567
princess
1234
login
welcome
solo
abc123
admin
121212
flower
passw0rd
dragon
sunshine
master
hottie
loveme
zaq1zaq1
password1

스플래시데이터 측은 “단지 123456이나 password가 상위에 올랐다는 게 문제가 아니라, 12345나 passw0rd 등 기껏해야 한 글자 정도 바꾼 것이 전부인 ‘변종’들이 목록 대부분을 차지하고 있다는 게 문제”라고 지적한다. “원래부터 뚫기 쉬운 비밀번호를 아주 약하게 변경한다고 해서 비밀번호가 갑자기 강력해지는 건 아닙니다. 해커들도 다 아는 수법이고요. ‘안전하다’는 것에 대한 일반 사용자들의 잘못된 이해가 드러나는 결과입니다.”

이렇게 ‘안이한’ 비밀번호 설정 습관 때문에 2016년 대선 당시 민주당 의원들의 이메일이 해킹 당했다는 건 이미 널리 알려진 바다. 특히 클린턴 측의 의장이었던 존 포데스타(John Podesta) 의원의 경우 비밀번호로 password를 사용하고 있다는 게 드러나 빈축을 사기도 했다.

최근 페이스북의 CSO인 알렉스 스타모스(Alex Stamos)는 “비밀번호를 여러 군데에서 똑같이 사용하면서 잘 바꾸지도 않는 건 어쩌면 사이버 공간에서 가장 위험한 결과를 초래하는 습관”이라고 밝힌 바 있다. “비밀번호의 재활용은 개인이 사이버 공간에서 저지를 수 있는 가장 위험한 행위입니다. 이는 통계적으로도 입증이 된 사실입니다. 아무리 고차원적인 해킹 공격이라고 해도 결국 시작은 쉬운 암호를 노린 피싱 공격 등입니다. 모든 재앙이 바로 쉬운 비밀번호로부터 시작된다고 해도 과언이 아닙니다.”

최근엔 이미 유출된 사용자이름/비밀번호의 조합을 자동으로 대입하는 공격이 유행하고 있다. 지난 몇 년 간 발생한 대형 유출 사고를 통해 범죄자들은 어마어마한 크기의 크리덴셜 데이터베이스를 확보했고, 이제 이를 활용하는 공격이 이어지고 있는 것이다. 로그인 트래픽의 90%가 이런 자동화 대입 공격을 위한 것이라는 보고서도 최근 발표된 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>