브루트 포스 유사 공격시 해커들이 주로 공략하는 건 디폴트 세팅
제조사와 사용자의 보안의식 수준 매우 심각

[보안뉴스 문가용] 인터넷에 연결된 시스템으로 침입하려고 할 때 해커들은 어떤 암호들을 주로 대입해볼까? 보안 전문업체인 래피드7(Rapid7)이 세계 곳곳에 퍼트린 하니팟 시스템을 활용해 계정 및 권한 탈취를 목적으로 하는 해커들이 무작위로 암호를 대입해 볼 때 나타나는 현상들을 관찰했다.


가장 먼저는 ‘x’라는 글자가 가장 많이 사용되는 것으로 나타났다. 그 뒤로 Zz, St@rt123, 1, P@ssw0rd가 차례로 뒤를 이었다. 그렇게 해서 뽑은 ‘Top 10’ 중 그나마 복잡하다고 분류가 가능한 암호는 세 개뿐이었다. 그나마도 ‘st@rt’처럼 특수문자가 일반 알파벳을 대입하는 아주 흔한 용례에 속해 보안 효과가 미비한 것으로 나타났다.

“한 지역도 아니고 전 세계의 해커들이 공통으로 이런 암호들을 제일 먼저 대입해본다는 건 의미심장합니다. 그런 빈약한 암호들로 설정된 시스템에 세계적으로 많다는 뜻일 수밖에 없습니다. 특히 이 해커들이 POS 시스템이나 일반 매장의 지불 시스템을 노린다는 사실과 합쳐서 보면, 결국 POS 및 매장 주인들이 이런 암호들을 주로 사용한다고 결론을 내릴 수 있습니다. 게다가 대부분은 디폴트 암호에요. 제조사의 암호 설정도 취약하고, 암호 관리하는 사용자의 습관도 참으로 취약합니다.” 래피드7 측의 설명이다.

약한 암호에 대한 연구 결과는 이전에도 숱하게 있어왔다. 하지만 대부분은 일반 사용자가 직접 설정할 때 발견되는 약한 암호들에 관한 것이었지, 이번 조사 결과처럼 해커들이 주로 대입해보는 건 아니었다. 예를 들어 작년 스플래시데이터(SplashData)의 연간보고서 중 암호 관련 항목을 보면 123456, password, 12345678, qwerty, 12345가 차례로 최악의 암호로 꼽혔다. 이 암호들은 이미 지난 몇 년 동안 계속해서 해당 분야의 왕좌를 지켜온 것이었다. 이 결과가 나타내는 건 ‘일반 사용자들이 보안 권고를 철저히 무시한다’는 것이었다.

반면 이번 래피드7의 연구결과는 비슷하기도 하고 다르기도 하다. 일단 정보의 신뢰성을 위해 밝히자면 래피드7은 334일 동안 119개국의 IP 주소에서 221,200건의 로그인 시도를 수집해 분석했다. 이중 40%에 해당하는 88,000건은 중국에서부터 발생했고 25%인 55,000건은 미국 내에서 있었다.

가장 빈번하게 ‘추측된’ 사용자 이름은 administrator, Administrator, pos, db2admin이었다. 모두 다양한 제조업체들에서 디폴트로 사용하고 있는 사용자 이름이다. 위에서 언급한 암호들 역시 대부분 디폴트라는 걸 감안해서 생각하면 해커들은 사용자들이 디폴트 세팅을 잘 바꾸지 않는다는 사실에 대단한 확신을 가지고 있다는 걸 알 수 있다.

“인터넷에 연결된 기기에 쉬운 암호, 흔한 암호를 그대로 사용하는 게 얼마나 위험한지도 드러난 결과였습니다.” 래피드7의 데이터 분석가인 로이 호지맨(Roy Hodgman)의 설명이다. 연구 기간 동안 래피드7이 수집한 암호들의 20%는 차라리 없는 거나 다름없을 정도로 간단했다고 한다. 그런데 이런 약한 암호가 전체 악성 로그인 시도의 43%나 차지했다. “위험한 환경을 사용자와 제조사들이 실제로 만들어가는 것 같았습니다.”

“인터넷은 매일 여러 사람들의 스캐닝 대상이 됩니다. 좋은 의도를 가진 자들인지 아닌지 우린 알 수가 없고 결정할 수도 없습니다. 그렇기에 공공 IP 주소를 가진 기기는 기기 자체도 잠그고 소프트웨어도 잠가야 합니다. 그리고 감사도 주기적으로 받아야 하고요. 외출할 때 문 열어놓고 가지 않잖아요? 그것과 똑같은 수준의 보안 경각심이 필요합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>