전체메뉴

[애플경제 전윤미 기자] 세계적인 비밀번호 관리 전문업체인 ‘NordPass’의 새로운 연구에 따르면, 사이버공격과 해킹이 비일비재한 가운데도, 세계적으로 ‘123456’과 같은 비밀번호가 가장 많이 쓰이는 것으로 나타났다. 이 업체는 최근 약 500개 기업의 비밀번호와, 실제로 해킹 피해를 본 비밀번호들을 수집, 분석하며 이같은 결과를 내놓았다.

NordPass는 “‘123456’은 흔히 동네에 있는 스타벅스의 화장실 ‘비번’과 같은 수준이긴 하지만, 의외로 전 세계적으로 두 번째로 인기 있는 비밀번호”라며 “당연히 가장 위험하며 사실상 무장해제한 번호”라고 지적했다. 이 업체는 또 “사이버 공격자들의 정교한 수법은 날로 증가하고 있는 만큼, 모든 개인의 계정과 조직의 데이터 검색에 대한 열쇠로 절대 사용해서는 안 되는 것이 무엇인지 살펴봐야 할 때”라고 분석 결과를 소개했다.

세계에서 가장 인기있는 암호? 가장 뚫리기 쉬워

매년 이 업체가 수집하는, 세계에서 가장 흔한 200개의 비밀번호는 대체로 정해져있다. 그 중에서도 영문으로 ‘Password’(비밀번호)가 2021년도에 가장 많이 쓰였던 비번으로 꼽혔다. 또 2022년에는 ‘123456’이 가장 많이 쓰였고, 2019년에는 ‘12345’가 1등에 오르기도 했다.

특히 미국만 놓고 보면 2022년 가장 흔한 비밀번호는 ‘Guest(게스트)’였고, ‘Password’가 4위를 차지했다. 물론 ‘12345’와 ‘123456’도 상위 순위에 올랐다. 또 NordPass는 국가, 성별 및 비밀번호를 해독하는 데 걸리는 평균 시간과 같은 항목별로 비번을 자세히 분석했다. 이에 따르면 해독하는데 불과 1초도 안 걸리는 경우도 많았는데, 의외로 세계에서 가장 많이 쓰이는 순위 9위인 'col123456'은 해킹에 무려 11초가 걸릴 것으로 보인다. 해커들의 ‘허’를 찌른 셈이다. 이 밖에도 전 세계적으로 가장 많이 사용된 비번은 ‘qwerty’, ‘guest’, ‘111111’ 등도 있다.

노드패스, ‘500개 기업 암호 및 유출비번 분석’

노드패스는 이같은 연구, 분석 과정에서 해킹으로 유출된 3TB 크기의 비밀번호 데이터베이스를 발견했다고 밝혔다. 회사측은 그 많은 데이터베이스에서 ‘Password’라는 비밀번호가 490만 번 이상 발견됐고, 2021년 데이터와 비교하면 2022년에는 이처럼 가장 쉽고 평범한 비밀번호 200개 중 73%가 그대로 남아 있었다고 말했다.

노드패스는 “이처럼 유출된 비밀번호들에서 보듯, 쉽고 평범한 비번을 사용하지 않는 것만으로도 많은 사이버 보안 사고들을 피할 수 있을 것”이라고 조언했다. 이 회사는 지난 5월 기업 임원들이 계정 보안을 위해 사용하는 비밀번호에 대한 연구를 발표한 적이 있고, 지난해는 ‘포춘’ 500대 기업에서 유출된 비밀번호를 조사한 바 있다. 그 결과 “피해를 안 겪은 기업들 중에선 단일 요소 인증을 사용하는 기업은 거의 없었다”고 밝혔다.

노드패스의 보안 책임자인 크리벨은 “본사는 원격 액세스 다요소 기능을 적극 권장한다”면서 “애플리케이션이 수많은 진입 지점으로 다각적으로 배치되는 광범위한 네트워크를 보유하고 있는 기업이나 개인은 훨씬 더 높은 임계값으로 암호를 설정하기 위한 표준화된 정책을 도입할 것을 권장한다”고 조언했다.

그러면서 몇 가지 기업이나 개인들이 유념해야 할 비밀번호 등 보안 권장 사항을 제시했다. 우선 ▲암호를 변경하고 정기적으로 재설정해야 하며, ▲암호가 아닌 암호 구문을 사용하고, ▲특히 기업은 조직이 암호와 관련된 정책을 어떻게 수용해야 하는지에 대해 토론을 하되, CIO에게만 책임을 전가해서는 안된다고 했다. 또 ▲암호 블랙리스트를 만들고, 어떤 형태로든 다양한 암호 잠금 기능을 가지고 있어야 하며, ▲최소한 8글자 이상은 되어야 한다고 권했다.

또 “복잡한 비밀번호, 즉 문자, 기호, 숫자의 혼합을 늘리는 것뿐만 아니라, 문자의 수도 늘려야 한다”면서 “많은 사람들이 여전히 8자만을 사용하지만, 그것만으로는 충분하지 않다”고 주의를 당부했다. 그 보단 15자 정도 되는 비번이 좋긴 하지만, “기업으로선 사내 구성원들이 이런 복잡한 비번을 싫어하는 분위기를 극복하고, 설득할 정도의 ‘용기’가 필요하다”고 강조했다. 그러면서 “단순히 문자를 추가하는 것만으로도 해커들은 암호를 해킹하는 것이 기하급수적으로 더 어려워진다”고 덧붙였다.

숫자 나열보단 문장이 더 안전해

이에 따르면 또 직원들이나 구성원들이 심지어 명백한 암호문조차도 해커들이 해킹하기가 매우 어렵다는 사실을 아는 것이다. 예를 들어 한 문장에서 단어와 단어 사이의 공백을 없애고 붙여쓰는 등 그 문구를 아주 간단하게 수정하기만 해도, 그 암호문구는 거의 해독할 수 없게 된다는 것이다.

노드패스는 또 기업들이 결코 사용해선 안 될 ‘비밀번호 블랙리스트’를 입수하여 보급할 것을 권한다. “이 역시 최선의 방어 전술 중 하나로서, 이는 일반적인 공통 비밀번호뿐만 아니라 회사의 위치와 같은 명백한 정보와 연결시켜 쉽게 비번을 알아낼 만한 내용이 포함되어 있는지 확인해야 한다”고 강조했다.

기업은 특히 비밀번호 관리자를 반드시 둬야 한다고 했다. 흔히 비번 관리자들은 암호 생성 도구는 문자, 숫자 및 기호의 임의 조합으로 구성된 강력하고 고유한 암호를 자동으로 생성한다. 노드패스는 “비밀번호 관리자는 안전한 비밀번호 저장뿐만 아니라 직원 간 공유도 허용하게 하고, 너무나 쉬운 비밀번호를 만들거나 재사용하는 실수를 범하지 않도록 해준다”고 강조했다.