“보안 담당자, 싱글사인온과 비밀번호 관리 툴 믿지 못해서”
“소셜 미디어 계정의 보안 정책 자체가 바뀌어야” 주장도 있어

[보안뉴스 문가용 기자] 보안의 가장 기본적인 실천사항 중 하나인 강력한 비밀번호 설정 및 주기적인 비밀번호 교체는 보안 담당자들조차 잘 지키지 않는다는 조사 결과가 나왔다. 지난 2월 RSA에 참석한 보안 전문가들 중 300명을 대상으로 보안 업체인 타이코틱(Thycotic)이 실시한 조사에서 약 53%가 자신들의 소셜 네트워크 계정 비밀번호를 1년 간 바꾸고 있지 않다고 답한 것이다.


또 33%는 1년 이상 바꾸지 않았다고 답했으며, 20%는 한 번도 바꾼 적이 없다고 응답하기도 했다. 여기에다가 약 30%는 소셜 네트워크 계정 비밀번호를 생년월일이나, 거주지 주소, 애완동물 이름이나 자녀 이름 등으로 설정했다고 답해, 보안 전문가들의 비밀번호 관리 실태가 일반인들의 그것과 크게 다르지 않음이 나타났다.

재미있는 건 같은 설문에서 응답자의 45%가 “기업이 겪게 되는 사이버 공격의 절반이 권한이 높은 계정의 비밀번호가 공략 당했기 때문”이라고 답했다는 것이다. 타이코틱의 수석 보안 과학자인 조셉 카슨(Joseph Carson)은 “개인적으로나 회사 차원에서 과거에 진행했던 연구를 통해보면, 실제로 비밀번호 때문에 사이버 범죄가 성공적으로 발생하는 경우는 63%에 가깝다”고 설명을 보충한다.

“그런데 그 63%의 경우 중, 30%는 IT 관리자의 비밀번호가 약해서 발생하고, 10%는 보안 책임자의 실수나 안일함 때문에 발생합니다. 하지만 보통 그런 설문들이 발표될 때는 그저 ‘비밀번호가 약해서’라고만 기술되죠. IT 관리자나 보안 담당자도 책임이 있다는 말은 잘 나오지 않습니다. 보안 전문가들은 다 잘 하고 있다고 여겨지게 되는데, 전혀 잘못된 생각이죠.”

행동이 아니라 말만 가득해
왜 보안 전문가들은 자기들이 한 말을 잘 지키지 못하는 것일까? “단순히 말과 행동이 다르다거나 앞과 뒤가 다르다고 볼 수만은 없다”고 카슨은 설명한다. “보안 전문가들은 싱글사인온이 가지고 있는 위험성을 잘 이해하고 있고, 잘 사용하지 않는 편입니다. 즉, 한 번에 다 로그인되는 게 아니라 계정마다 비밀번호를 다르게 설정하기는 하죠. 개인적인 것이나 직업상 필요한 것이나 마찬가지로요. 저만 해도 약 400개의 계정을 보유하고 있고, 암호를 죄다 다르게 쓰고 있습니다.”

하지만 계정마다 암호를 다르게 한다는 게 쉬운 일이 아니다. “400개를 제 암기력으로 다 커버할 수는 없어요. 당연히 암호 관리 프로그램을 사용하죠. 그런데 보안 전문가들 대부분 이런 암호 관리 프로그램조차 잘 믿지 않습니다. 사실 암호 관리 프로그램들에서도 취약점이 종종 발견되기도 하고, 뚫렸다는 소식도 이따금씩 들려오죠.” 실제 타이코틱이 지난 해 1000여 명의 보안 전문가들을 대상으로 실시한 설문에서 10~20%의 응답자들만이 암호 관리 프로그램을 사용 중에 있다고 답했다고 그는 말했다.

그러니 보안 전문가들은 소셜 네트워크처럼 보안의 우선순위가 떨어지는 개인 활동 계정은 등한시 할 수밖에 없다는 것이다. 하지만 이것이야 말로 잘못된 생각이라고 카슨은 지적한다. “소셜 네트워크를 통해 멀웨어나 피싱 캠페인이 들어와 기업 전체로 퍼진 예는 수도 없이 많습니다. 개인의 계정이라고 소홀히 할 영역이 아닌 것입니다.”

또 다른 보안 업체인 비욘드트러스트(BeyondTrust)의 부회장인 모리 하버(Morey Haber)는 “보안 전문가들조차 소셜 네트워크 비밀번호를 제대로 관리하고 있지 않다는 결과가 그리 놀라운 것은 아니”라고 말한다. “그리고 소셜 네트워크 제공업체가 계정 보안에 큰 신경을 쓰지 않고 있다는 것이 더 큰 문제 아닐까요? 예를 들어 90일 동안 같은 비밀번호를 사용하지 못하게 한다거나 하는 조치가 없죠. 아예 브라우저가 비밀번호를 기억하게 해서 로그인을 하지 않아도 되는 경우도 있고요. 페이스북 보세요. 같은 컴퓨터에서는 로그인 한 번만 하면 됩니다.”

이런 상황에서 보안 전문가를 비롯한 개인 사용자가 자기 소셜 미디어 계정 비밀번호를 자주 바꾸고 어렵게 설정하라고 요구하는 건 비현실적이라는 모리 하버는 “차라리 소셜 미디어마다 계정 비밀번호를 다르게 설정하기만 해줘도 ‘땡큐’ 아니겠는가”라고 말한다. “그래야 하나가 당하더라도 다른 소셜 미디어 계정까지 연쇄적으로 해킹당하는 일을 막을 수 있죠. 그나마 지금 환경에서는 그게 최고입니다.”

하지만 비밀번호가 바뀌지 않고 오래 남을수록 공격자에게 당할 확률이 높다는 건 확실하다고 하버는 덧붙인다. “비밀번호 관리 습관이 올바를수록 안전하다는 사실 자체는 변함이 없고, 그 관리 습관이라는 게 우리가 늘 말하는 ‘자주 바꾸고’, ‘어렵게 설정하고’라는 것도 진리입니다. 이는 누구나에게 해당되는 말이고요.”

하지만 타이코틱의 설문에서 25%의 응답자는 “시스템 경보가 울리기 시작하면 비밀번호를 바꾸겠다”고 답해, 소셜 네트워크 계정에 대한 보안 의식이 대단히 강력하지 않음이 드러나기도 했다. 또한 “보안 담당자가 관리해야 할 계정이 많아서 그렇다”라거나 “소셜 미디어 업체가 계정 보안 정책을 변경해야 한다”는 위 전문가의 주장에 대해서 “과도한 감싸기”라는 지적도 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>