‘3개월에 1번’이 가장 많아...‘1개월에 1번’과 ‘보안이슈 발생시 비밀번호 변경’ 순
계정관리 솔루션 통한 통합 관리 4.36% 불과...비밀번호 관리 여전히 미흡
최소 한 달에 한번씩 변경, 한글·영문·특수문자 혼합해서 사용해야

[보안뉴스 김경애] 기업이나 기관 등에서 임직원의 비밀번호 변경주기는 얼마나 될까? 조사결과 3개월에 한 번씩인 변경한다는 답변이 가장 많아 아직까지 비밀번호 관리가 소홀한 것으로 드러났다.

이는 본지가 기관 및 기업의 정보보호최고책임자와 보안담당자, 개인정보처리자 등 총 4,063명을 대상으로 ‘귀사의 기본적인 보안정책 가운데 임직원의 비밀번호 변경주기는 어떻게 되나요?’라는 주제의 설문조사 결과로 응답자 중 51.74%가 3개월에 한 번씩 변경한다고 응답했다.

주기적인 비밀번호 변경이 가장 쉬우면서도 효과적인 보안수칙이라고 캠페인 등을 통해 지속적으로 강조하고 있지만, 기관이나 기업의 보안정책마저 아직 이를 따라가지 못하고 있는 것이다. 비밀번호는 적어도 한 달에 한 번씩 한글, 영문과 특수문자를 혼합해서 사용해야 한다는 게 보안전문가들의 공통된 의견이기 때문이다.

그 다음으로 응답자중 17.07%가 ‘한 달에 한 번씩’이라고 답변했으며, 이어 응답자 가운데 12.37%가 ‘별도의 정책이 없고 보안이슈 발생시 변경’하는 것으로 조사됐다. 4위는 근소한 차이로 11.15%가 ‘6개월에 한 번씩’이라고 답변했다.

지난해 산업통상자원부가 실시한 한빛원전과 고리원전의 보안감사 결과에 따르면, 19명의 직원이 내부전산망에 들어갈 수 있는 ID와 비밀번호를 외부에 유출했던 것으로 드러났다. 또한, 올해 가장 큰 개인정보 유출사건 중에 하나였던 온라인 커뮤니티 사이트 뽐뿌의 경우 해킹으로 인해 회원 190만 명의 아이디와 비밀번호 등이 유출된 바 있다.

최근에는 페이스북 계정이 탈취돼 자신도 모르게 광고 글이 자신의 페이스북에 올라갔다는 사용자들이 상당수에 이르는 등 비밀번호 관리 미흡으로 인한 해킹사고도 자주 발생하고 있는 상황이다.

해킹 사고가 가장 많은 중국에서도 지난 11월 16일~22일 PC를 해커 쪽 서버에 연결해 악성 프로그램들을 내려 받고 사용자의 여러 인터넷 사이트 계정·비밀번호 및 중요한 정보들을 훔치는 새 백도어(Backdoor) 바이러스가 누리꾼들을 공격하는 사건이 발생했다.

이처럼 해킹 공격이 날로 지능화되면서 무차별적으로 개인정보를 탈취하고 있지만, 이를 예방할 수 있는 가장 기본적인 보안수칙인 비밀번호 변경은 이번 설문조사 결과에서도 보듯 여전히 미흡한 수준이다.

비밀번호를 자주 바꾸지 않는 이유로 대다수 사람들이 번거롭다는 점을 꼽았다. 또한, 누구나 쉽게 파악하거나 유추가 가능한 비밀번호를 설정하는 경우도 상당수에 이른다. 그러나 비밀번호 설정이나 변경을 소홀히 할 경우 발생할 수 있는 피해는 감당하기 어려울 정도다. 더욱이 최고권한 계정의 패스워드는 유출시 막대한 손실과 심각한 장애를 유발할 수 있다는 게 시큐어가드테크놀러지 방학재 대표의 설명이다.

게다가 클라우드, 스마트워크, 소셜네트워크 등 IT 환경이 다양화되고, 하나의 아이디 및 비밀번호로 다양한 계정을 통합관리하는 경우도 늘어나고 있다. 이러한 상황에서 보다 효과적인 비밀번호 관리와 보안 강화를 위해 계정관리 솔루션과 OTP 등 다양한 보안 솔루션을 적용할 수도 있다. 하지만 ‘계정관리 솔루션으로 통합관리’한다고 응답한 비율이 4.36%에 불과한 것으로 드러나 개개인이 주기적인 비밀번호 변경을 실천하는 등의 노력이 무엇보다 중요할 것으로 보인다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>