유출 계정정보 가운데 5분의 1,  MS 계정의 아이디· 비번과 동일 
회원가입 사이트별로 아이디와 비밀번호 반드시 다르게 설정해야   

[보안뉴스 호애진] 최근 계정정보 유출사고가 많이 발생하면서 비밀번호 관리에 대한 중요성이 다시 부각되고 있다. 여러 사이트에 동일한 비밀번호를 적용하는 사용자들이 많기 때문이다.

이를 반영하듯, 마이크로소프트(이하 MS)는 해킹 사고로 유출된 계정정보 중 약 20%가 MS 계정정보와 동일했다는 흥미로운 결과를 내놓았다.

MS 계정팀의 그룹 매니저인 에릭 도어(Erick Doerr)는 블로그를 통해 기업이나 기관 및 해커가 공개한 계정정보 자료를 MS 계정정보와 비교해본 결과 약 20%가 동일했다고 밝히고, 이용하고 있는 각 사이트마다 다른 비밀번호를 사용할 것을 당부했다.

MS 계정은 스카이드라이브, 핫메일, Xbox, 그리고 MSN 메신저 등에 이용되는데, 유출된 계정정보 중 20%가 MS 계정, 아이디와 비밀번호까지 동일하기 때문에 이들 역시 보안위협에 노출된 셈이다. 이 수치는 야후 해킹 사고로 40만개의 계정 정보가 유출된 이후 발표됐다. 이번 사고로 추가 피해가 발생할 수 있다는 우려에서 공개한 것으로 보인다.

그는 “유출된 계정정보 중 동일한 아이디를 가진 사용자를 대상으로 자동화 과정을 거쳐 비밀번호를 비교해본 결과 20%가 동일한 것을 확인했다”면서, “해커가 공개한 자료가 전혀 맞지 않을 때도 있지만, 평균적으로 20%의 수치를 보였으며, 최근 한 사고에서는 4.5%였다”고 밝혔다.

이어 그는 “MS 서버가 해킹돼 계정정보가 유출됐다는 의미가 아니다”라면서 “해킹 사고가 발생한 타 사이트에서 유출된 계정정보를 확인한 것”이라고 덧붙였다.

도어에 따르면, MS는 해킹 사고가 발생하면 사용자 계정을 모니터링 해 스팸 발송 등에 쓰이는지를 파악한다.

만약 특정 계정에서 범죄활동의 징후가 보이면, 즉시 이 계정을 정지시키고 사용자가 로그인할 때 본인 인증 등을 거쳐 다시 사용할 수 있도록 한다. 다만, 의심스러운 계정의 경우에는 사용자에게 비밀번호를 초기화하도록 한다.

또한, 보안을 강화하기 위해 비밀번호를 최대 16자리로 설정할 수 있도록 했다. 무차별 대입 공격이 어렵게 하기 위함이다.

야후나 지메일과 같이 30자리까지 가능하도록 하는 데는 다소 간의 어려움이 있지만, 현재 스카이드라이브나 Xbox.com 이용 시에는 이중 인증(two-factor authentication)을 적용하는 것과 같이 다른 서비스에서도 보안을 강화하기 위한 다양한 대책을 강구하고 있다고 그는 설명했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>