노출됐거나 취약한 비밀번호의 경우 즉시 변경해야
2단계 인증 기능 적극 활용하면 유출로 인한 피해 예방할 수 있어
[보안뉴스 이상우 기자] IBM이 최근 실시한 설문조사에 따르면 한국 성인들은 코로나19 기간 중 평균 14개의 온라인 계정을 새로 생성했다. 사회적 거리두기로 인한 비대면·디지털 서비스가 사회 전반으로 퍼지고, 이 과정에서 새로운 서비스 이용을 위해 계정을 생성하는 일이 많아진 것이다.
[이미지=utoimage]
사용하는 계정이 많아지면 그만큼 기억해야 할 ID와 비밀번호도 많아진다. 문제는 여기서 생긴다. 단순한 비밀번호를 여러 서비스에 동일하게 적용하면 외우기는 쉽지만, 계정정보 하나만 노출되더라도 모든 서비스의 비밀번호를 바꿔야 하는 번거로움이 있다. 반대로 복잡한 비밀번호를 서비스마다 다르게 설정한다면 정작 본인이 비밀번호를 잊고, 로그인할 때마다 비밀번호를 찾는 번거로운 과정을 거쳐야 한다.
이러한 사용자라면 비밀번호 저장 기능을 유용하게 쓸 수 있다. 특히, 안드로이드 스마트폰 사용자는 자신의 구글 계정에 비밀번호를 저장하고, 이러한 정보를 PC 같은 다른 기기와도 연동해 사용할 수 있다. 사용자는 자신의 구글 계정 비밀번호만 기억하면 수많은 웹 기반 서비스의 비밀번호를 외우지 않아도 된다(물론 보안을 위해서 구글 계정에 대한 2단계 인증은 필수적이다).
자신의 계정에 저장된 비밀번호를 확인하려면 구글 계정 설정에서 계정 관리 > 보안 > 다른 사이트 로그인 수단 > 비밀번호 관리자에서 확인하거나 수정할 수 있다. 구글 검색창에 ‘구글 비밀번호 관리자’를 입력한 뒤 자신의 구글 계정으로 로그인하면 별도의 메뉴를 찾을 필요 없이 바로 관리 페이지에 진입할 수 있다.
▲구글 비밀번호 관리자 진입 방법[자료=보안뉴스]
해당 관리 페이지에서는 현재 자신의 계정에 어떤 서비스의 ID와 비밀번호가 저장돼 있는지 확인할 수 있으며, 필요하다면 저장된 ID와 비밀번호를 수정하는 것도 가능하다. 주의할 점은, 실제 서비스에서 비밀번호를 변경하지 않고, 구글 관리 페이지에서만 변경할 경우 로그인 할 수 없다. 이 때문에 수정 시에는 ID와 비밀번호가 해당 서비스와 일치하는지 확인해야 한다.
▲구글 비밀번호 관리자[자료=보안뉴스]
이번에 소개할 기능은 이러한 비밀번호 관리가 아닌, ‘비밀번호 진단 기능’이다. 구글은 사용자 계정에 저장된 ID와 비밀번호를 검토하고, 문제가 있는 비밀번호를 사용하는지 알려줘 사용자 계정 보호를 강화하도록 지원한다.
해당 기능을 사용하려면 우선 관리 페이지의 가장 위에 있는 ‘비밀번호 진단’ 항목을 선택해야 한다. 이후 나타나는 창에서는 등록된 계정 정보 중 해킹/도용된 비밀번호, 재사용된 비밀번호, 취약한 비밀번호를 사용하는 계정을 요약해 보여준다.
가장 상단에 있는 해킹/도용된 비밀번호 항목은 현재 자신의 구글 계정에 저장된 타 서비스의 ID 및 비밀번호 조합이 유출되지는 않았는지 확인해주는 기능이다. 만약 해당 항목에서 ‘해킹/도용된 비밀번호 n개’라는 메시지가 표시될 경우, 이를 반드시 확인하고 변경해야 한다. 해당 항목 클릭 시 어떤 ID와 비밀번호 조합이 인터넷상에 공개됐는지 알려준다. 이에 사용자는 해당 서비스에 직접 접속해 비밀번호를 변경해야 한다.
▲비밀번호 진단 기능[자료=보안뉴스]
‘재사용된 비밀번호’ 항목에서는 현재 저장된 비밀번호 중 동일한 비밀번호는 몇 개나 있는지 알려준다. 사용자가 여러 서비스에 동일한 ID와 비밀번호 조합을 사용할 경우, 특정 서비스에서 유출된 ID·비밀번호 조합을 여러 서비스에 입력하며 로그인을 시도하는 ‘크리덴셜 스터핑’ 공격에 취약하다. 특히, 이러한 비밀번호를 다수의 개인용 계정과 업무용 계정에 동일하게 사용할 경우 사이버 공격자가 기업의 주요 시스템에 침입해 정보를 유출하거나 랜섬웨어 등 악성코드를 통한 시스템 감염을 시도할 수 있기 때문에 가능하다면 서비스마다 서로 다른 비밀번호를 적용하는 것이 좋다.
‘취약한 비밀번호’ 항목에서는 사전대입공격 등으로 노출되기 쉬운 비밀번호를 알려준다. 사전대입공격이란 단어사전에 등재된 단어를 중심으로 대소문자를 변경하며 자동 입력해 비밀번호를 알아내는 방법이다. 이 때문에 눈치채기 쉬운 단어나 문구 혹은 키보드 패턴(qwerty) 등은 상대적으로 취약한 비밀번호에 해당한다. 이러한 공격을 예방하기 위해서는 쉽게 예측할 수 없도록 대·소문자, 특수문자 등을 무작위로 조합해야 하며, 이러한 비밀번호를 생성하기 어렵다면 검색창에 ‘무작위 비밀번호 생성’ 등의 키워드를 입력해 난수로된 비밀번호를 만드는 것이 좋다. 당연한 이야기지만, 이러한 비밀번호를 외우는 것은 어렵기 때문에 구글 등에서 제공하는 비밀번호 저장 기능을 이용하면 도움이 된다.
사실 아무리 복잡한 비밀번호를 적용하고 주기적으로 변경하더라도, 취약한 서버에 저장된 정보는 사이버 공격자가 쉽게 찾아내 이를 악용할 수 있다. 이에 무엇보다 사용자의 주의와 관심이 필요하다. 이메일이나 커뮤니티 게시판 등에 있는 URL을 클릭했을 때 계정 정보 입력을 유도한다면 이를 무조건 의심해야 하며, 웹 브라우저 주소창에 정상적인 주소가 표시돼 있는지 확인해야 한다. 특히, 각 서비스마다 2단계 인증을 적용할 경우 ID·비밀번호가 유출되더라도 사용자가 설정한 추가 인증 수단 없이는 공격자가 무단으로 접근할 수 없기 때문에 이를 적극 활용해야 한다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>