실시간
뉴스

침해사고/위협동향

시만텍, 비밀번호 보안 강화 당부…“멀티팩터 인증 사용해야”

[디지털데일리 이민형기자] 시만텍(www.symantec.co.kr)은 최근 러시아 해킹 그룹이 42만개의 웹사이트에서 사용자 이름과 비밀번호를 수집한 사건과 관련해 강력한 비밀번호 사용과 이중 인증 방식의 도입, 비밀번호 관리 솔루션 사용이 필요하다고 7일 밝혔다.

얼마전 러시아 해킹 그룹이 42만개 웹사이트로부터 12억개의 사용자 이름과 비밀번호를 확보했다는 소식이 전해졌다. 보도에 따르면, 해킹은 포춘 500대 기업부터 중소 기업에 이르기까지 방대하게 이뤄졌다. 해킹 당한 사이트는 확인이 되지 않았지만, 이들 중 상당수가 여전히 공격에 취약하다고 밝혔다.

해킹 조직은 웹사이트의 취약점을 찾기 위해 봇넷(Botnets)을 사용한 것으로 알려졌으며, 봇넷에 감염된 컴퓨터가 웹사이트에 접속하면 공격자들이 SQL 인젝션(SQL injection) 공격을 감행해 해당 사이트의 취약점을 파악하는 것으로 나타났다. 사이트가 취약한 상태일 경우, 사이트를 기억해두었다가 다시 방문해 데이터베이스에서 정보를 탈취했다.

공격자들은 탈취한 정보의 상당수를 판매하지 않고 소셜 네트워크상에 스팸 메시지를 전송하는데 사용한 것으로 보인다. 다른 사이버 범죄자들에게 이 정보들은 상당한 가치가 있는 정보이다. 만약 사람들이 다른 서비스에서도 같은 비밀번호를 사용한다면 공격자들은 확보한 개인 정보를 사용해 다른 계정에 접근해 피해자에 대한 더욱 민감한 정보를 취득할 수 있기 때문이다.

이번 보안사고는 현재의 비밀번호 시스템이 얼마나 취약한지 다시 한번 보여주고 있다. 너무나 쉽게 무수히 많은 웹사이트에서 동일한 비밀번호를 사용하거나 쉽게 추측할 수 있는 비밀번호를 생성하고 있다.

그 결과, 만약 공격자가 하나의 웹사이트를 해킹해 사용자의 로그인 정보에 접근할 수 있다면, 그 정보를 활용해 여러 다른 온라인 계정에 무단으로 접근할 수 있는 권한을 획득할 수 있는 가능성도 배제할 수 없다.

주요 취약점에 대한 언론 보도가 있다 해도 대다수의 사용자들은 비밀번호를 변경하지 않는다. 퓨 리서치 센터(Pew Research Center)의 최근 보고서에 따르면 하트블리드(Heartbleed) 취약점에 대해서 알고 있는 10명 가운데 비밀번호를 변경한 사람은 4명이 채 안 되는 것으로 조사되었다. 따라서, 온라인 서비스 사용 시 인증방법을 강화할 수 있는 방안에 대한 고민이 시급한 상황이다.

스마트폰의 확산으로 ‘이중 인증(two-factor authentication)’의 인기가 높아지고 있다. 사용자가 비밀번호를 입력해 1차로 로그인을 하면 2차로 이메일, SMS 메시지, 모바일 앱 등을 통해 임시 인증 코드를 확인하는 것이다.

즉, 사용자의 비밀번호가 해킹되어도 공격자는 목표 계정에 침투하기 위해서 또 다른 인증 시스템에 접근해야 한다.

시만텍은 온라인 정보를 안전하게 보호하기 위해서는 항상 보안 수준이 높은 강력한 패스워드를 설정하고, 같은 패스워드를 다른 웹사이트에서 재사용하지 않는 것을 권고하고 있다.

또 이중 인증을 제공하는 웹사이트를 사용하고 온라인 서비스마다 서로 다른 비밀번호를 안전하게 저장해주는 패스워드 관리 솔루션 사용을 추천했다.

한편, 시만텍은 이중인증 및 토큰 없는 리스크 기반 인증 환경을 모두 구현할 수 있는 기업용 시만텍 VIP(Validation and ID Protection Service) 서비스와 온라인 서비스마다 서로 다른 비밀번호를 안전하게 저장해주는 노턴 ID 세이프(Norton Identity Safe) 솔루션을 제공하고 있다.

이번 이슈와 관련된 보다 자세한 내용은 시만텍 블로그(http://bit.ly/1pad6Z4)에서 확인 가능하다.

<이민형 기자>kiku@ddaily.co.kr

디지털데일리 네이버 메인추가
x