사이버 공격의 먹잇감…‘비밀번호 재사용’

[중소기업투데이 조민혁 기자] 흔히 자신의 비밀번호(암호)를 여러 계정이나 각기 다른 용도의 파일에 중복해서 재사용하는 경우가 많다. 이는 물론 사이버 보안상의 허점을 드러내 해커들의 먹잇감이 되기 십상이다. 비단 우리뿐 아니라 해외에서도 내로라 하는 빅테크 기업들 역시 직원들이 이처럼 비밀번호를 재사용하는 습관 때문에 골치를 앓고 있다는 소식이다.

사실 용도가 달라질 때마다 비밀번호를 바꾸거나, 다른 모양으로 변형하는건 매우 귀찮고 번거로울 수 있다. 그렇다보니 심지어 글로벌 IT기업이나 보안기술업체에 종사하는 직장인들 중에서도 이런 ‘게으른’ 행동을 하는 경우가 많다는 지적이다. IT테크 전문매체인 'IT프로포털'은 최근 미국의 ID 및 액세스 관리 업체인 ‘My1 Login’의 보고서를 인용하며 이런 행태의 위험성을 경고하고 있다.

‘My1 Login’은 “암호 재사용은 여전히 전 세계 직장인들에게 널리 퍼져 있으며 때론 아무리 교육을 하고, 주의를 당부해도 소용없는 경우가 많다”고 했다. 실제로 이 회사는 IT업계 종사자 1,000명과 CIO와 CEO 1000명을 대상으로 설문조사를 실시한 결과, 응답자의 2/3가 개인 계정과 기업 계정 모두에 동일한 암호를 사용하는 것으로 나타났다. 게다가 각자 회사에서 권유하는 보안 기능이 뛰어난 암호를 응답자 전원이 잘 알고 있음에도 불구하고, 그 중 절반만이 “회사가 권하는 안전한 암호를 사용하고 있다”고 대답했다.

상황이 그렇다보니 사이버 보안에 대한 여러 교육도 그다지 효과를 보지 못하는 것으로 나타났다 아예 교육을 받은 적 있다는 응답자의 85%가 여전히 동일한 비밀번호를 재사용한다고 대답했고, 교육을 받지 않은 사람들은 91%가 동일한 비밀번호를 사용하고 있다고 응답했다.

그렇다보니 현재 국제적으로 사이버 공격은 극성을 부리며, 그 피해도 막심하다. 각종 연구와 분석 보고서에 의하면 특히 금년 들어선 이미 전반기에 작년 한 해동안 빈발했던 랜섬웨어 공격 횟수를 초과할 정도로 그 폐해가 심각하다. 이런 공격에 맞서 데이터를 안전하게 보존하기 위한 기회비용도 기하급수적으로 늘어나고 있다.

실제로 '블룸버그 통신'이 국제 사이버 보안업체 소닉월을 인용한 바에 따르면 금년 들어 불과 반년 만에 2020년 랜섬웨어 전체 횟수를 초과한 것으로 알려졌다. 2021년 상반기에만 전세계적으로 무려 7840만 건의 랜섬웨어 공격을 기록한 가운데, 특히 미국(185%↑)과 영국(144%↑)에서 폭증했다. 독일, 남아프리카공화국, 브라질 등도 대량의 대규모 공격을 당한 바 있다.

그럼에도 불구하고, 미국의 경우 의료 업계 종사자 94%가 용도가 다양한 계정이나 파일, 디바이스에서 동일한 암호를 재사용하기 때문에 보안 상황이 최악이라는 소식이다. 교육과 공공 부문 역시 종사자들의 91%, 83%가 비밀번호를 재사용하고 있는 것으로 전해졌다. 특히 이들 직군 종사자들은 주로 업무용 응용프로그램의 개인 비밀번호를 다른 여러 용도로 중복 사용하고 있어 더욱 심각성을 증폭시키고 있다.

그래서 최근엔 아예 비밀번호 없는(Cryptoless) 비즈니스 워크플로우를 주창하는 목소리도 적지 않다. My1Login의 CEO인 마이크 뉴먼 역시 “기업체 리더들은 기업 데이터 보호에 대한 직원들의 행동을 변화시키기 위해 교육에 의존하기보다는 아예 직원들로 하여금 ‘비밀번호의 굴레’로부터 벗어나는 방법을 생각할 필요가 있다”고 했다. 실제로 일부 글로벌 빅 테크들은 ‘암호 없는 Single Sign-On’을 기반으로 한 인증 관리 솔루션을 비즈니스 현장에 도입하기도 한다.

“그래서 비번 유출과 사이버 공격의 공포와 번거로움에서 영구적으로 해방되는게 바람직하다”는 주장이다. 이런 흐름은 판교나 테헤란로, 구로 디지털 단지 등 국내 IT업계와 기업들에도 영향을 끼칠 것이라는 전망이 나오고 있다.