이원영 기자
기기나 웹서비스 계정에 비밀번호를 설정할 때에는 사전 공격 등을 막기 위해 문자수를 길게 하거나 단순한 숫자나 단어를 사용하지 않는다는 대책을 취하는 게 보통이다. 하지만 1234, abcd 등 단순한 암호를 사용해버리는 사람도 많다. 미국 내무부가 실시한 보안 감사에 따르면 내부에서 사용되는 비밀번호 5분의 1이 쉽게 추측 가능한 문자열로 이뤄져 있다는 게 밝혀졌다. 또 대부분 당사자가 다중 요소 인증을 활성화하지 않은 것으로 나타났다.
비밀번호 보호를 돌파하는 대표적인 기법 중 하나는 ‘Password1234’나 ‘qwerty’ 같은 비밀번호에 사용되기 쉬운 문자열을 기록한 목록을 이용하는 사전 공격이 있다. 미국 내무부 보안 감사팀은 미국 정부에서 사용되는 용어집, 팝 문화에 사용되는 용어집, 과거 데이터 침해로 발견된 암호집, 키보드 인접 키끼리 만들어낸 문자열 등을 수집해 15억 단어에 이르는 사전 데이터를 작성하고 8만 5,944건 계정 비밀번호 해시에 대해 사전 공격을 실시했다.
공격 결과 전체 21%에 상당하는 1만 8,174건 암호를 캐는데 성공했다. 비밀번호를 훼손 당한 계정 중 288건은 상위 권한을 가졌고 362건은 정부 고위 관계자 계정이었다.
사전 공격에 의해 날려버린 암호 중 사용 계정 수 상위 10건을 보면 1. Password-1234(계정수 478), 2. Br0nc0$2012(389), 3. Password123$(318), 4. Password1234(274), 5. Summ3rSun2020!(191), 6. 0rlando_0000(160), 7. Password1234!(150), 8. ChangeIt123(140), 9. 1234password$(138), 10. ChangeItN0w!(130)이다. 중간에 o를 0으로 바꿔 난독화를 시도하거나 a를 @로 바꾸는 것 같은 대책도 있지만 이런 대책은 전혀 의미가 없다.
또 보안 감사 결과 내무부 부서에서 다중 요소 인증이 활성화되지 않았으며 암호 돌파가 데이터 침해로 직접 이어지는 상태라는 게 밝혀졌다. 감사팀이 암호 돌파에 이용한 시스템에는 1만 5,000달러에 이르는 비용이 들었지만 감사팀은 감사 결과를 근거로 만일 충분한 자원을 가진 공격자가 비밀번호 해시를 얻고 공격을 실행하면 구글과 비슷한 성공률을 기록할 수 있다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
