2025년을 시작하는 공격자들의 지갑이 두둑하다. 지난 해 많은 것을 거뒀기 때문이다. 자기들이 직접 땀 흘려 얻은 것도 있지만, 대부분은 우리가 흘리고 다녀서 나타난 결과다.
3줄 요약
1. 최고 인기 비밀번호는 여전히 password, 123456, admin.
2. 공격자들은 1년 동안 10억개 이상 비밀번호 가져감.
3. 강력한 비밀번호의 비밀은 길이에 있음.
[보안뉴스 문가용 기자] 비밀번호 탈취가 심각하다고 하는데, 지난 한 해 동안 몇 개나 도난당했을까? 보안 업체 스펙옵스(Specops)에 의하면 10억 개가 넘는다고 한다. 최근 발행한 보고서에 의하면 정확히 10억 8934만 2532개다. 공격자들은 어떻게 이런 성과를 거둘 수 있었을까? 사용자들은 어떻게 하다가 이런 어마어마한 손실을 입었을까? 스펙옵스가 통계를 냈다.
[이미지 = gettyimagesbank]
비밀번호 현황 간략 정리
먼저 가장 많이 탈취된 비밀번호 다섯 개는 다음과 같다. 아마 예상 가능할 것이다.
1) 123456
2) admin
3) 12345678
4) password
5) Password
비밀번호를 너무 쉽게 설정하는 문제가 아직 팽배함을 알 수 있다. 글자 수를 늘리면 비밀번호를 공략하는 게 더 힘들다고 하는데, 글자 수를 늘려도 추측이 쉬운 것으로 하면 소용이 없다. 탈취된 비밀번호에서 가장 흔히 발견되는 기본 단어들은 다음과 같았다.
1) 5글자 : admin
2) 6글자 : qwerty
3) 7글자 : welcome
4) 8글자 : password
그렇다고 비밀번호 탈취가 오로지 사용자들의 해이에서만 비롯된 건 아니었다. 충분히 복잡한 비밀번호라도 2억 3천만 개 이상 탈취됐다는 것을 보면 알 수 있다. 하지만 여기에는 함정이 있다. 복잡하긴 한데, 어디서 많이 본 것들이 많이 당했다. 스펙옵스에 의하면 충분히 복잡한데 탈취를 당한 비밀번호 중 가장 흔한 것 세 가지는 다음과 같다고 한다.
1) Pass@123
2) P@ssw0rd
3) Aa@123456
가장 많이 탈취된 비밀번호의 길이는 3가지인데 의외로 짧지 않다.
1) 8글자 : 1억8900만
2) 10글자 : 1억6000만
3) 9글자 : 1억5300만
‘길이’에만 의존하는 게 좋지 않다는 걸 알 수 있다.
비밀번호 관리 프로그램 개발사인 라스트패스(LassPass)가 조사한 바에 따르면 사용자들의 91%가 동일한 비밀번호를 여러 계정에서 사용하는 게 위험하다는 걸 알고 있다고 한다. 하지만 그럼에도 비밀번호를 재사용하는 사용자는 59%인 것으로 나타났다. 기업에서 사용하는 액티브 디렉토리 비밀번호가 생각보다 멀지 않은 곳에 있을 수 있다는 의미다. 때문에 비밀번호가 한 해 만에 천문학적인 규모로 탈취됐고, 사용자들은 여전히 쉽고 간단한 비밀번호를 사용하고 있다는 사실에 기업들은 경각심을 가져야 한다고 스펙옵스는 강조한다.
실제로 스펙옵스가 조사했을 때 위에서 언급된 가장 많이 탈취되는 비밀번호 5개의 경우 액티브 디렉토리 비밀번호와 정확히 일치하기도 하는데, 그 횟수는 다음과 같았다.
1) 123456 : 370만
2) admin : 190만
3) 12345678 : 150만
4) password : 55만8000
5) Password : 47만4000
비밀번호, 어떻게 설정하고 사용할까
스펙옵스는 비밀번호 문제를 해결하기 위해 SHA256 해시 알고리즘을 사용해 각종 비밀번호들을 크랙하는 실험을 진행했다. SHA256은 최신 알고리즘이라고 할 수 없지만, 가장 보편적으로 사용되기 때문이다. 그 결과는 다음과 같다.
[이미지 = 보안뉴스]
이 결과표만 봐도 답이 나온다고 스펙옵스는 설명한다. “일반적인 크래킹 기술에 당하지 않으려면 숫자와 대소문자와 기호를 섞는 게 좋고, 최소 9~10자 길이는 맞춰줘야 합니다.”
그래서?
비밀번호를 사용하는 모든 사람들이 이 연구를 통해 알아가야 할 건 다음 여덟 가지다.
1) 공격자들은 생각보다 많은 비밀번호를 가지고 있다. 당신 것도 있을 수 있다.
2) 그럼에도 사용자들은 약한 비밀번호를 계속 만들고 재사용한다. 그 중 한두 사람이 우리 회사에 있을 수 있다.
3) 복잡하게 비밀번호를 만드는 사용자들도 많다. 그럼에도 탈취를 막지는 못한다. 왜? 복잡함을 시늉만 내고 있기 때문이다. 복잡하더라도 예측이 가능하면 도난당한다.
4) 비밀번호를 강력하게 만들 때 가장 중요한 건 길이다. 길게 만드는 게 좋다. 비밀번호가 아니라 비밀문장이 바람직하다.
5) 해커는 멀웨어를 사용해 비밀번호를 가져가기도 한다. 멀웨어 감염에도 주의해야 한다.
6) 비밀번호만으로는 보호가 안 된다. 이중인증이 훨씬 강력하다.
7) 개인 비밀번호와 업무용 비밀번호가 혼용될 때가 가장 위험할 수 있다.
8) 조직 내에서 사용되는 비밀번호의 꾸준한 감사가 중요하다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 최고 인기 비밀번호는 여전히 password, 123456, admin.
2. 공격자들은 1년 동안 10억개 이상 비밀번호 가져감.
3. 강력한 비밀번호의 비밀은 길이에 있음.
[보안뉴스 문가용 기자] 비밀번호 탈취가 심각하다고 하는데, 지난 한 해 동안 몇 개나 도난당했을까? 보안 업체 스펙옵스(Specops)에 의하면 10억 개가 넘는다고 한다. 최근 발행한 보고서에 의하면 정확히 10억 8934만 2532개다. 공격자들은 어떻게 이런 성과를 거둘 수 있었을까? 사용자들은 어떻게 하다가 이런 어마어마한 손실을 입었을까? 스펙옵스가 통계를 냈다.
[이미지 = gettyimagesbank]
비밀번호 현황 간략 정리
먼저 가장 많이 탈취된 비밀번호 다섯 개는 다음과 같다. 아마 예상 가능할 것이다.
1) 123456
2) admin
3) 12345678
4) password
5) Password
비밀번호를 너무 쉽게 설정하는 문제가 아직 팽배함을 알 수 있다. 글자 수를 늘리면 비밀번호를 공략하는 게 더 힘들다고 하는데, 글자 수를 늘려도 추측이 쉬운 것으로 하면 소용이 없다. 탈취된 비밀번호에서 가장 흔히 발견되는 기본 단어들은 다음과 같았다.
1) 5글자 : admin
2) 6글자 : qwerty
3) 7글자 : welcome
4) 8글자 : password
그렇다고 비밀번호 탈취가 오로지 사용자들의 해이에서만 비롯된 건 아니었다. 충분히 복잡한 비밀번호라도 2억 3천만 개 이상 탈취됐다는 것을 보면 알 수 있다. 하지만 여기에는 함정이 있다. 복잡하긴 한데, 어디서 많이 본 것들이 많이 당했다. 스펙옵스에 의하면 충분히 복잡한데 탈취를 당한 비밀번호 중 가장 흔한 것 세 가지는 다음과 같다고 한다.
1) Pass@123
2) P@ssw0rd
3) Aa@123456
가장 많이 탈취된 비밀번호의 길이는 3가지인데 의외로 짧지 않다.
1) 8글자 : 1억8900만
2) 10글자 : 1억6000만
3) 9글자 : 1억5300만
‘길이’에만 의존하는 게 좋지 않다는 걸 알 수 있다.
비밀번호 관리 프로그램 개발사인 라스트패스(LassPass)가 조사한 바에 따르면 사용자들의 91%가 동일한 비밀번호를 여러 계정에서 사용하는 게 위험하다는 걸 알고 있다고 한다. 하지만 그럼에도 비밀번호를 재사용하는 사용자는 59%인 것으로 나타났다. 기업에서 사용하는 액티브 디렉토리 비밀번호가 생각보다 멀지 않은 곳에 있을 수 있다는 의미다. 때문에 비밀번호가 한 해 만에 천문학적인 규모로 탈취됐고, 사용자들은 여전히 쉽고 간단한 비밀번호를 사용하고 있다는 사실에 기업들은 경각심을 가져야 한다고 스펙옵스는 강조한다.
실제로 스펙옵스가 조사했을 때 위에서 언급된 가장 많이 탈취되는 비밀번호 5개의 경우 액티브 디렉토리 비밀번호와 정확히 일치하기도 하는데, 그 횟수는 다음과 같았다.
1) 123456 : 370만
2) admin : 190만
3) 12345678 : 150만
4) password : 55만8000
5) Password : 47만4000
비밀번호, 어떻게 설정하고 사용할까
스펙옵스는 비밀번호 문제를 해결하기 위해 SHA256 해시 알고리즘을 사용해 각종 비밀번호들을 크랙하는 실험을 진행했다. SHA256은 최신 알고리즘이라고 할 수 없지만, 가장 보편적으로 사용되기 때문이다. 그 결과는 다음과 같다.
[이미지 = 보안뉴스]
이 결과표만 봐도 답이 나온다고 스펙옵스는 설명한다. “일반적인 크래킹 기술에 당하지 않으려면 숫자와 대소문자와 기호를 섞는 게 좋고, 최소 9~10자 길이는 맞춰줘야 합니다.”
그래서?
비밀번호를 사용하는 모든 사람들이 이 연구를 통해 알아가야 할 건 다음 여덟 가지다.
1) 공격자들은 생각보다 많은 비밀번호를 가지고 있다. 당신 것도 있을 수 있다.
2) 그럼에도 사용자들은 약한 비밀번호를 계속 만들고 재사용한다. 그 중 한두 사람이 우리 회사에 있을 수 있다.
3) 복잡하게 비밀번호를 만드는 사용자들도 많다. 그럼에도 탈취를 막지는 못한다. 왜? 복잡함을 시늉만 내고 있기 때문이다. 복잡하더라도 예측이 가능하면 도난당한다.
4) 비밀번호를 강력하게 만들 때 가장 중요한 건 길이다. 길게 만드는 게 좋다. 비밀번호가 아니라 비밀문장이 바람직하다.
5) 해커는 멀웨어를 사용해 비밀번호를 가져가기도 한다. 멀웨어 감염에도 주의해야 한다.
6) 비밀번호만으로는 보호가 안 된다. 이중인증이 훨씬 강력하다.
7) 개인 비밀번호와 업무용 비밀번호가 혼용될 때가 가장 위험할 수 있다.
8) 조직 내에서 사용되는 비밀번호의 꾸준한 감사가 중요하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
