| 농협, 시스템 계정 비밀번호 ‘1’ 혹은 ‘0000’ | 2011.04.21 | |
시스템 비밀번호 7년간 그대로...전산업무처리지침 위반
미래희망연대 김혜성 의원이 최근 공개한 금감원의 ‘농협중앙회 감사결과 현지 조치사항’에 따르면 농협은 시스템 계정 15개의 비밀번호를 최장 6년 9개월간 변경하지 않은 것으로 밝혀졌다. 농협은 또 주요 서버 내 77개의 계정, DB서버시스템 내 145개 계정, DB 접근 통제시스템 내 464개 등 686개 계정의 비밀번호를 ‘1’ 이나 ‘0000’ 같은 쉬운 숫자를 사용한 것으로 드러났다. 심지어 농협은 전산망에 소프트웨어를 설치할 때도 납품업체가 설정해둔 기본 비밀번호를 바꾸지 않고 그대로 사용하기도 한 사례까지 있었다. 국내 전산업무처리지침은 3개월에 한번씩 비밀번호를 변경해야만 한다고 명시하고 있다. 또 비밀번호 역시 영문과 숫자를 혼용해 8장 이상으로 구성하고 간단한 문자 혹은 숫자의 반복을 금지해야한다. 관리용 소프트웨어 설치 시 제공되는 비밀번호도 설치 후 즉시 변경해야만 하지만 농협은 이 모든 사항을 지키지 않은 것이다. 아이디·비밀번호 인증 방식은 상당히 취약한 인증 방법 중에 하나로 그 취약한 부분을 보완하기 위해 강력한 패스워드를 설정하도록 하고 있다. 따라서 농협이 시스템 계정 비밀번호를 1이나 0000과 같은 취약한 패스워드를 사용하고 있었다는 점을 볼 때도 이미 농협 사태는 예견된 결과라는 것이 보안업계의 중론이다.
박춘식 서울여대 교수는 “비밀번호를 주기적으로 변경하고 쉽게 유추할 수 없도록 설정해야 한다는 것은 보안의 기본인데 이를 지키지 않았다는 것은 그만큼 농협의 허술한 보안 관리를 명백히 보여주는 것”이라면서 “이는 보안 의식 부족에서 비롯된 것인만큼 이번 농협 사태를 통해 기업은 보안에 지속적인 관심과 투자를 게을리해서는 안될 것”이라고 밝혔다.
또한 박나룡 보안전략연구소 소장은 “금융관련 지침이나 정보통신망법등 다양한 규정에서 비밀번호에 대해 안전한 기준을 적용하도록 요구하고 있는데 이에 대해 적용이 안돼 있었다는 점에서 문제가 심각하다”고 지적하며 “비밀번호 방식은 상당히 취약하지만 가장 손쉽게 사용이 가능한 인증 방식으로 아직까지 가장 많이 이용되고 있는 대표적인 방식이기 때문에 보안 강화를 위해 강력한 패스워드를 설정하는 것은 필수"라고 강조했다. [호애진 기자(boan5@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
