• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

美 군과 정부 요원들 비밀번호 습관, 일반인과 다르지 않다 2018.09.20

분석한 데이터의 50%가 크래킹 하기 쉬워...123456과 password 많아
해킹 사고 발생해도 핑계 댈 수 없다는 비판 나오기도

[보안뉴스 문가용 기자] 정부 및 군에 소속된 사용자들도 보안 실천 사항을 제대로 지키지 않는다는 보고서가 발표됐다. 보안 업체 왓치가드 테크놀로지스(WatchGuard Technologies)가 2018년 2사분기 동안 조사해 발표한 “인터넷 보안 보고서(Internet Security Report)”의 내용이다.

[이미지 = iclickart]


이 보고서를 작성하기 위해 왓치가드 측은 117개의 로그인 및 비밀번호 조합으로 이뤄진 데이터 덤프를 분석했다고 한다. 이 덤프는 SHA-1이라는 해시로만 보호되어 있었으며, 2012년 링크드인 침해 사고 때 탈취된 것이라고 한다.

분석 결과 .mil과 .gov 계정들과 관련된 로그인 정보가 매우 크래킹이 쉬운 상태였다는 것이 밝혀졌다. 쉬운 비밀번호가 문제였던 건데, 계정들의 50%가 쉽게 추측 가능한 비밀번호로 보호되어 있었다. 이는 일반인들 계정에서 나타난 것과 아주 조금 낮은 정도였다. 일반인 계정의 경우 쉬운 비밀번호로 보호된 것이 52%였다.

크래킹된 정부 요원 계정의 비밀번호들 중 대부분이 일반적으로 알려진 ‘바보 같은 비밀번호’ 목록에 포함된 것들이었다. 이번 조사를 통해 정부 요원들이 가장 많이 사용한 쉬운 비밀번호는 123456과 password였다.

왓치가드의 전문가들은 “이젠 고전이 되어버렸을 정도로 전형적인 ‘쉬운 비밀번호’가 정부와 군에서도 널리 사용되고 있다는 것에 충격을 받았다”고 설명했다. “정부와 군에서 해킹 사고가 발생하면 온 나라가 발칵 뒤집혀집니다. 그렇게 난리를 치면서 정작 본인들은 123456 따위의 비밀번호를 사용하고 있었다뇨. 차라리 저희가 분석한 게 해커들을 유인하기 위한 가짜 계정이기를 희망합니다.”

물론 이 계정들은 꽤나 오래 전에 유출된 것들이고, 게다가 정부 시스템들에서 직접 사용된 것은 아니다. .gov나 .mil로 등록된 계정들에 대한 분석 결과다. 헤어려볼 여지가 있다는 것이다. 그렇지만 “군과 정부의 요원들이라면 비밀번호 설정에 대해 보다 더 나은 습관을 가지고 있을 줄 알았는데, 그렇지 않다는 게 드러났다”는 것에는 변함이 없다. “좋은 습관을 가지지 못한 자들이 정부나 군 기관 내에서만은 보안을 철저하게 지킨다는 보장도 없는 상태이고 말입니다.”

또 다른 보안 업체 베리디움(Veridium)의 COO인 토드 숄렌바저(Todd Shollenbarger)는 “이렇게 기본적인 보안 사항도 지켜지지 않는 것이 공개된 마당에, 더 이상 예산 핑계를 댈 수 없을 것”이라고 꼬집었다. “이젠 정부 기관이나 군 기관이 해킹당했다고 해도 할 말이 없을 겁니다. 변명한다 한들 누구도 동조하지 않겠죠.”

그러면서 숄렌바저는 “이미 NIST가 ‘디지털 아이덴티티 가이드라인(Digital Identity Guidelines)’이라는 걸 통해 크리덴셜 보안 강화에 필요한 방법을 제시했다”며 “이젠 정말 당사자들이 실천 사항을 지켜내는 것밖에 남지 않았는데, 과연 이 마지막 관문을 통과할 수 있을까 의심된다”고 말한다.

최근 미국의 의원들은 미국 국무부 장관인 마이크 폼페이오(Mike Pompeo)가 국무부 내 다중 인증 체제를 도입하지 않은 것에 대한 비판을 쏟아낸 바 있다. 주요 공직자가 보이는 보안 불감증에 대한 비판인 것이다.

이러한 비판적인 내용을 발표한 론 와이든(Ron Wyden), 코리 가드너(Cory Gardner), 에드워드 마키(Edward Markey), 랜드 폴(Rand Paul), 젠느 샤힌(Jeanne Shaheen) 의원들은 “중간 선거를 앞둔 이 시점에서 보다 강력한 보안 인증 시스템을 국무부 정보 시스템에 구축하기를 촉구한다”고 마이크 폼페이오에 전달했다.

3줄 요약
1. 일반인이나 정부 요원이나 군 관계자나 비밀번호 설정 습관은 도긴개긴.
2. “이제 해킹 사고 발생해도 예산 부족 등에 핑계대지 못할 것.”
3. 최근 마이크 폼페이오도 보안 불감증 때문에 비판 받음.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>