사용자를 공격 위협에 제 손으로 노출시키게 하는 ‘나쁜’ 권장

사람에겐 기억력 외에 여러 가지 도구를 사용할 능력 있어

[보안뉴스 문가용] 마이크로소프트와 칼튼 대학의 연구원들은 이번 달 16페이지에 달하는 보고서를 공동으로 발표했다. 그런데 그 내용이 의아스럽다. 리스크가 낮은 웹사이트에서는 약하고 기억하기 쉬운 암호 하나를 정해 재사용하라는 것. 이는 인터넷 사용자에게는 별로 좋은 권장사항이 아니다. 특히나 회사에서 인터넷을 사용하는 사람들에겐 굉장히 위험한 발언일 수 있다.

그렇다면 왜 이렇게 위험하기 짝이 없는 소리를 장장 16페이지에 걸쳐 한 것일까? 정말 지켜야 할 민감하고 중요한 웹사이트의 암호를 강력하고 어렵게 만들어 기억하려면 그 보다 덜 중요한 웹 사이트의 암호에는 신경을 쓰지 않는 것이 도움이 된다는 게 그 이유다. 이걸 보다 쉬운 말로 풀어 쓰면 다음과 같다. “당신들에겐 어렵고 복잡한 암호를 여러 개 외우고 있을 능력이 없습니다. 그러니 헛수고 말고 아예 몇몇 웹 사이트는 포기 하시는 게 속 편할 겁니다.”

요즘처럼 해킹 사고가 많은 이때, 어쩌면 암호를 어렵게 만들고 기억해내는 노력은 정말 헛수고일 수도 있다. 계속해서 누군가는 사용자들의 온라인 계정을 노리고, 계속해서 누군가는 이런 공격에 실제로 뚫리는 일이 일어날 것이다. 이제 안전한 곳은 아무 데도 없으며 공격자들의 창의력은 날로 새로워지고 있어 우리의 정보나 암호는 매일 새나간다. 게다가 최근 발표된 암호 관리 프로그램의 허술함까지 더하면 포기하는 게 더 현명한 처사일 수도 있다는 말이 설득력을 얻는다. 그럼에도 우리가 암호 설정을 최대한 어렵게 해야 하는 건 왜일까?

중요한 사이트 vs. 덜 중요한 사이트

위 보고서에서 말하는 사용자 지침은 사이트 중요도에 따라 암호를 약하거나 강하게 설정하라는 것이다. 그러면서 마이크로소프트와 칼튼 대학의 연구원들은 특정 웹사이트에서 정보가 유출되는 사고가 일어났을 경우 발생하는 손해를 어떻게 계산하는지도 그 보고서에 포함시켰다. 그 계산을 해보고 나서 중요한 사이트와 덜 중요한 사이트를 판가름하라는 것. 그러나 ‘덜 중요하다’는 건 정확히 어떤 범주인가?

아마 은행 웹사이트가 ‘중요한’ 곳이라는 것에는 대부분이 동의할 것이다. 그러나 은행처럼 중요도가 확실하게 갈리는 웹사이트는 그리 많지 않다. 트위터는 중요한 사이트인가 아닌가? 다른 소셜 미디어는 어떤가? 대형 포럼이나 블로그는? 누군가에겐 굉장히 중요할 수 있지만 누군가에겐 그렇지 않다. 누군가는 소셜 미디어를 직업으로 운영하고 있는가 하면 누군가에겐 그저 시간 죽이기 그 이상도 이하도 아닐 것이다.

그러나 소셜 미디어를 아무리 하찮은 놀이거리 취급을 하더라도 해커들 입장에서 소셜 미디어는 아주 요긴한 툴이다. PII, 즉 개인 식별 정보의 황금맥과 같은 곳이기 때문이다. 소셜 미디어에 일주일에 한 번 들어갈까 말까한 사용자라도 그곳에 알게 모르게 쌓인 정보들은 해커들에게 중요한 단서를 제공하는 게 분명하다.

그렇기 때문에 소셜 미디어 계정이 한 번 뚫리면 상상을 능가하는 다양한 공격의 가능성이 활짝 열리는 것과 다름이 없다. 개인 식별 정보를 손에 쥔 채 해당 사용자인양 가면을 쓰고 온라인 활동을 하는 것이 가능해지기 때문이다. 원래 커다란 기업의 대형사고도 한 사람을 타깃으로 한 작은 피싱 메일이나 전화 한 통으로 시작하는 경우가 대부분인데 이 역시 소셜 미디어를 통한 개인 식별 정보가 있으면 굉장히 용이해진다.

소셜 미디어가 워낙 광범위하게 사용되고 있기 때문에 공격하고자 하는 기업과 관련된 여러 사람(직원, 하청업체 관계자, 아웃소싱 직원, 파트너 등등)중 누가 타깃이 되고 있는지도 모른다. 이런 면에서 봤을 때 아무리 든든한 보안이 잘 갖춰진 회사라도 결국 누군가의 클릭 한 번에 언제 무너져도 이상하지 않다. 그리고 그 클릭은 ‘중요한’ 사이트에서만 일어나는 것도 아니다.

암호 재사용이라니, 말도 안 되는 권장

많은 업체들에서 클라우드를 업무 환경에 적극 도입하기 시작했다. 그리고 직원들은 이런 클라우드 서비스를 사용하기 위해 사용자 ID와 암호를 만들어 접속한다. 이 과정에서 직원들은 별 생각 없이 흔히들 다른 인터넷 웹 사이트에서 사용해오던 사용자 ID와 암호를 그대로 사용하는 경우가 많다. 이는 굉장히 치명적인 취약점이다.

먼저 해커들도 사용자들의 이런 습성을 아주 잘 알고 있다. 그래서 한 번 누군가의 암호를 손에 넣게 되고, 소셜 미디어 등을 통해 그 누군가가 어디에서 근무하는지도 파악한다면 당연히 그 회사에 대한 공격을 감행한다. 이는 너무나 자연스러운 귀결이다. 혹자는 그 회사가 세상의 무수히 많은 클라우드 중 어떤 솔루션을 사용하는지 해커 입장에서 알 도리가 없다는 주장도 한다. 그런 말을 꺼낼 수 있는 사람은 아직 해커에 대해 잘 모른다고밖에는 생각할 수가 없다.

사람이 언제부터 기억력에만 의존했다고

이번 발표문의 내용 중 가장 동의하기 어려웠던 건 사용자의 기억력에 대한 낮은 평가였다. 마치 모든 사용자가 암호를 123456이나 password로 설정하는 걸 전제로 하고 만든 보고서 같았달까. 게다가 ‘기억력’에만 의존해서 암호를 설정하라는 법도 없다.

먼저는 암호 관리자 프로그램을 회사 내부에서만 사용하는 방법도 있다. 암호 관리자 프로그램에 대한 취약점이 여기저기서 보고되고 있고 그래서 사용하기가 조심스러운 측면이 분명히 있지만 대중 인터넷에 연결하지 않고 로컬에서만 호스팅해서 사용한다면 강력하고 안전하며 해커들이 뚫어내기가 그리 쉽지 않기도 하다.

물론 이런 장치를 마련한다고 해도 모든 직원들이 이에 따라주지는 않을 것이다. 그럼에도 엔드포인트에 이런 암호 관리자 프로그램이 하나 있는 것과 없는 것에는 큰 차이가 있다. 암호 관리자 프로그램이 있으면 암호를 굉장히 어렵고 복잡하게 만들 수 있으며, 사용자는 암호 관리자 프로그램에 접속하기 위한 암호 하나만 기억하면 된다.

결국 완벽하게 안전한 것은 이 세상에 없다. 해커들은 어떻게 해서든 원하는 정보를 갖기 위해 별별 수단을 다 동원할 것이다. 하지만 그렇다 해도 스스로 쉬운 표적이 될 필요는 없다. 또한 모든 해킹이 이런 집요한 노림수에 의해 벌어지는 것도 아니고, 재미로 일어나는 일도 얼마든지 있기 때문에 이런 곁가지들을 최대한 제하는 건 현명한 일이다. 암호가 아무리 한물 간 보안 수단이라고 해도 여전히 제일 많이 사용되고 있는 건 사실이며, 또한 그렇기에 이왕 사용하고 있는 거 보다 안전하고 단단하게 만들 이유는 충분하다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>