[2021년 02월 09일] - 기업의 80%가 패스워드 정책을 운영하지 않고 있으며, 15~20%는 업무 관련 계정에 회사명이 포함된 취약한 패스워드를 사용하는 것으로 조사됐다. 아크로니스가 공개한 사이버 공격 트렌드와 기업 대응 사례 실태 조사 결과다. 실제 패스워드 정책 부재 및 단순한 패스워드 사용으로 보안 사고 발생시 막대한 비용 손실로 이어진 경우가 업계에 다수 보고된 바 있다.
예컨대 오리온(Orion) 해킹 사건에서 솔라윈즈(SolarWinds)의 서버 업데이트 패스워드가 “solarwinds123”이었던 점, 도날드 트럼프 미 전 대통령의 트위터 계정의 패스워드가 “maga2020!”로 알려진 것 등 일련의 패스워드로 발생한 사례가 관리의 위험성이 잘 내포한다.
물론 조직의 대부분은 패스워드 정책을 시행하고 있으나, 사실상 기본 패스워드에 의존하는 경향이 짙고, 이 가운데 50% 넘게 취약한 암호로 분류됐다. 이러한 취약한 암호 관행을 노려 공격 대상으로 삼거나 보안 취약한 원격 근무자의 시스템을 타깃으로 삼는 경향이 점차 증세가세다. 지난 2020년 한 해 피싱에 이어 패스워드를 탈취하는 ‘스터핑(stuffing)’ 공격이 2번째로 많이 사용됐다.
대다수 기업이 데이터와 고객 데이터의 프라이버시를 보장하기 위해 더 강력한 사이버 보호 체계가 필요하다는 것을 인식하고 있지만 디지털 사용자의 인식은 이에 미치지 못하고 있다. 보안기업 테시안(Tessian) 보고서에 따르면 직원의 48%가(48% of employees) 가정에서 작업할 때 데이터 안전 규정을 따르지 않는 경향이 있는 것으로 조사됐다.
올해 보안 동향에서도 비슷한 추세다. 패스워드 관리 의식 부재 및 사이버 보안 불감증으로 인해 2021년 데이터 유출에 따른 재정적 영향이 급증할 것으로 전망됐다. 이러한 추이는 랜섬웨어 공격 양상과도 유사한데, 독점적인 정보 자산 및 사적인 데이터를 탈취하여 공개하겠다고 몸값을 요구하는 방식이다. 실제 지난해 1천여곳 이상의 기업이 데이터 유출을 경험한 것으로 확이됐다.
보안 기업은 다음 관리 항목의 주의를 공통적으로 당부했다.
- 사용자가 회사 네트워크, 시스템 또는 VPN에 액세스하기 위해 둘 이상의 인증 절차를 완료해야 하는 다중 인증(MFA)이 모든 조직의 표준이 되어야 한다. 모바일 앱의 지문 스캔이나 랜덤 PIN 등 추가적인 인증 방법과 비밀번호를 결합해 공격자가 사용자의 비밀번호를 추측하거나 변경해도 기업 데이터에 접근할 수 없도록 하기 위함이다.
- 데이터 보안과 프라이버시를 보장하기 위해 제로 트러스트 모델을 채택해야 한다. 원격으로 접속하거나 내부망을 사용하는 모든 사용자들이 인증 과정을 거치고, 권한을 증명해야 하며, 기업 데이터 및 시스템에 접근하고 사용하는데 대한 보안 검증을 지속적으로 실시해야 한다.
- 사용자 및 개체 행동 분석(UEBA)을 통해 보안 체계를 자동화할 수 있다. AI와 통계 분석을 통해 사용자의 정상적인 활동을 모니터링함으로써, 시스템에서 정상적인 패턴을 벗어난 동작, 특히 침해 사고나 데이터 도용이 발생하는 경우 이를 인식할 수 있다.
By 김현동 에디터 hyundong.kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
