5월 1일 세계 비밀번호의 날, 12년 지났지만 보안은 제자리걸음?

실시간
뉴스

보안

5월 1일 세계 비밀번호의 날, 12년 지났지만 보안은 제자리걸음?

디지털데일리 발행일 2025-05-01 11:33:23

김보민 기자

URL복사

[디지털데일리 김보민기자] 글로벌 보안업계는 비밀번호로 인한 보안 사고를 막기 위해 5월 첫 주 목요일을 '세계 패스워드의 날'로 기념하고 있다. 올해 기념일은 5월1일로, 각국 보안 전문가들은 디지털 서비스와 기기를 보호할 비밀번호 보안 전략을 강조하고 있다.

세계 패스워드의 날은, 인텔이 디지털 보안에 대한 인식을 제고하자는 취지로 지난 2013년 관련 캠페인을 추진하며 시작됐다. 그 일환으로 각국 보안 업계는 '사이버보안 인식의 달(10월)'을 비롯해 비밀번호 변경의 날, 데이터 프라이버시 주간 등을 운영하며 신원(아이덴티티) 보안의 중요성을 알리고 있다.

비밀번호는 사용자가 특정 사이트, 서비스, 기기를 이용할 때 본인 여부를 증명하는 가장 기본적인 수단이다. 다만 다양한 인증 시스템에 동일하거나 유사한 비밀번호를 사용하는 사용자가 다수라, 사이버 공격자들의 입장에서는 '한 번 정보를 탈취하면 된다'는 인식이 자리 잡고 있다. 유출된 계정 정보를 가지고 데이터베이스(DB)를 구축한 뒤, 여러 사이트에 무차별 대입해 로그인을 시도하는 '크리덴셜 스터핑(Credential Stuffing)' 공격이 낯설지 않은 이유다.

크리덴셜 스터핑 공격은 국가를 가리지 않고 이어지고 있다. 유전자 검사 서비스 제공업체 '23앤드미(23andme)'는 2023년 약 690만명의 고객 정보가 탈취되는 사고를 냈는데, 고객들이 다른 플랫폼에서 쓰는 계정 정보를 재사용한 것이 원인으로 지목됐다. 공격자는 유출된 이메일과 비밀번호를 조합해 자동화 도구로 테스트를 거쳤고, 탈취한 데이터를 음성시장인 다크웹 포럼에 게시했다. 지난해 6월에도 클라우드 데이터 플랫폼 기업 스노우플레이크 고객사들이 크리덴셜 스터핑 공격으로 수억 건의 데이터가 탈취되는 사건이 발생했다. 다중인증 기능 등이 설정되지 않은 점이 원인으로 꼽혔다.

국내도 마찬가지다. GS리테일은 올 초 크리덴셜 스터핑 공격으로 고객 정보를 유출하는 사고를 겪었다. 티머니도 지난 4월 개인정보 유출 관련 안내문을 공지한 바 있다. 티머니에 따르면, 신원 불상의 공격자는 사전 수집한 고객 계정 정보를 이용해 홈페이지에 로그인을 시도한 것으로 추정된다.

세계 비밀번호의 날을 기념한지 약 12년이 지났지만, 여전히 비밀번호 보안에 대한 인식이 자리 잡지 못한 분위기다. 보안업체 키퍼시큐리티(Keeper Security) 설문조사에 따르면 사용자 39%는 자신의 정보가 침해 당했는지 알지 못하고, 32%는 자신의 비밀번호가 다크웹에 공개돼 있는지 알지 못한 실정이다. 유출된 사실을 알더라도 추후 조치를 취하지 않은 사용자(9%)도 있는 것으로 나타났다. 비밀번호 재사용을 비롯해 아이덴티티 보호에 대한 인식이 여전히 부족하다는 점을 엿볼 수 있는 부분이다.

보안업계에서는 '크리덴셜 위생(Credential Hygiene)'이라는 키워드를 강조하며, 오래되거나 이미 노출된 정보를 폐기하거나 바꾸는 인식이 자리 잡아야 한다고 본다. 글로벌 보안기업 세일포인트는 "리스크를 줄이기 위해서는 고도화된 아이덴티티 보안 체계를 구축하고 크리덴셜 위생을 강화해야 한다"며 "휴먼 크리덴셜와 마찬가지로 머신 크리덴셜을 정기적으로 교체하고, 더 이상 필요하지 않은 크리덴셜은 즉시 폐기해 악용을 방지해야 한다"고 말했다.

이어 "특히 오래되었거나 노출된 크리덴셜은 공격자들이 자주 노리는 진입 지점이기 때문에 더욱 철저한 관리가 필요하다"며 "기업은 모든 머신 아이덴티티에 대해 강력하고 고유한 암호화 키와 디지털 인증서를 적용하고, 자동화된 크리덴셜 관리 및 실시간 모니터링 체계를 갖춰야 머신 아이덴티티의 확산과 복잡성에 효과적으로 대응할 수 있다"고 제언했다. 아울러 "자율적으로 작동하며 여러 데이터 소스와 시스템에 접근해야 하는 AI 에이전트의 경우에도, 휴먼 및 머신 아이덴티티와 동일한 수준의 가시성, 거버넌스, 통제를 기반으로 관리하는 것이 더욱 중요하다"고 강조했다.

국내에서는 최근 크리덴셜 스터핑 공격이 이어진 만큼, 관련 대응 마련에 목소리가 커지고 있다. 안랩 시큐리티인텔리전스센터(ASEC)는 직원 및 고객 정보를 다루는 기업은 물론, 개인 차원에서도 인식 제고가 필요하다고 보고 있다. ASEC은 4월 분석을 통해 "공격자는 유출된 계정 정보를 자동화 도구를 통해 입력하며, 이를 방어하기 위해 인증, 탐지, 차단, 사용자 교육 등 전방위적인 대응이 필요하다"며 "다단계 인증(MFA)과 로그인 시도 제한은 물론, 사용자에게 비밀번호 재사용의 위험성과 MFA 중요성을 주기적으로 안내해야 한다"고 말했다.