지금 이 순간 다크웹에서 거래되는 비밀번호의 수량은 246억 개

비밀번호는 애증의 물건이다. 그 동안 수많은 사람들의 계정을 지켜준 공로도 가지고 있으면서도, 그것보다 더 많은 사람들을 위태롭게 만들고 있기 때문이다. 이 애증의 보안 장치를 처리하지 못하는 사이 다크웹은 노다지 축제가 매일처럼 벌어지고 있다.

[보안뉴스 문가용 기자] 현재 보안 업계에서 가장 주목을 많이 받는 기술을 하나 꼽는다면 ‘비밀번호 대체재’라고 말할 수 있다. 비밀번호라는 오랜 보안 장치를 없애고, 그걸 대신할 만한 무언가를 만드는 것이 큰 화두였다. 하지만 비밀번호에 대한 일반 대중들의 선호도가 너무나 높기 때문에 아직까지는 그 어떤 기술로도 비밀번호를 대체하는 게 쉽지 않아 보인다. 그렇기에 현재 ID와 비밀번호 조합을 일종의 자원처럼 활용하는 범죄자들의 호기는 이어질 것으로 전망된다. 현재 다크웹에서 거래되는 크리덴셜은 246억 개라는 조사 결과가 발표되기도 했다.

[이미지 = utoimage]

246억 개의 크리덴셜이라는 건 실로 어마어마한 숫자다. 지구에 거주하는 모든 인간의 네 배에 해당하는 것으로 모든 사람이 네 번씩 크리덴셜을 도난당했다는 것과 같은 지표가 되기 때문이다. 또한 2020년에 비해 4배 증가한 수치이기도 하다. 이러한 상황을 조사하고 발표한 보안 업체 디지털셰도우즈(Digital Shadows)에 의하면 “자본금이 이렇게 든든하니 공격자들이 계속 부유해질 수밖에 없다”라고 표현한다. 실제 지금 세상은 전례를 찾기 힘든 크리덴셜 탈취 및 계정 탈취 공격에 시달리는 중이다.

디지털셰도우즈에 의하면 이 246억 세트의 크리덴셜 중 67억 세트가 고유한 것으로 분류된다고 한다. 즉 중복된 크리덴셜이 하나도 없다는 것으로, 아직 복제된 적이 없어 세상에 딱 하나 뿐인 크리덴셜이 다크웹에 이만큼이나 돌아다니고 있다는 뜻이 된다. 2020년 같은 조사를 실시했을 때 집계된 고유 크리덴셜은 이것보다 17억개 적었다. 디지털셰도우즈는 “이러한 크리덴셜을 취급하는 다크웹 시장은 대단히 탄탄한 기반을 갖추고 있으며, 기술력과 상술의 측면에서도 뛰어난 모습을 보여주고 있다”고 설명한다. “최근에는 구독 형태의 서비스도 제공하는 중입니다.”

침해된 데이터, 끝이 보이지 않아
그렇다면 이 많은 데이터는 어떤 과정으로 다크웹에 흘러 들어가게 됐을까? 디지털셰도우즈 측은 그 부분이 보안 전문가들에게는 더 절망적으로 느껴진다고 설명한다. “비밀번호가 애초에 안전하지 않은 방법으로 설정되고 있었습니다. 딱히 해킹 기술이 없는 사람이라도 가져가기 쉽게 만들어진 비밀번호가 대다수라는 겁니다. ‘1234’라든가 ‘password’, ‘admin’과 같은 비밀번호는 수년 째 가장 많이 사용되는 비밀번호 1위를 고수하고 있죠. 공격자 입장에서는 사용자의 이런 단순한 패턴을 활용해 자동화 도구를 만들면 간편하게 대량으로 크리덴셜을 수집할 수 있게 됩니다.” 수석 사이버 위협 분석가인 크리스 모건(Chris Morgan)의 설명이다.

이러한 사실은 디지털셰도우즈의 보고서에 좀 더 적나라하게 나타난다. “예를 들어 다크웹에서 판매되는 비밀번호 200개 중 1개는 123456입니다. 또한 가장 많은 사람들이 사용하는 비밀번호 50개 중 49개는 해커들이 흔히 사용하는 크래킹 도구를 사용할 경우 1초 안에 해독될 수 있습니다. 공격자 입장에서 지금 우리가 만들어 놓고 사용하고 있는 사이버 공간이 얼마나 풍부한 금광인지 감이 오시나요? 어느 날 갑자기 컴퓨터와 친하지도 않은 일반인이 크리덴셜을 훔쳐서 돈을 벌겠다고 마음만 먹으면 얼마든지 벌 수 있는 상황이라고 말해도 과언이 아닙니다.”

이 상황을 어떻게 극복할 수 있을까
비밀번호를 더 이상 사용하면 안 된다는 주장이 나오는 많은 이유 중 하나가 바로 이것이다. 비밀번호를 제대로 사용하지 않아 오히려 사이버 공격자들에게 자원을 퍼주는 것과 마찬가지인 결과를 낳는 사람들이 압도적으로 많다는 사실 말이다. 그럼에도 아직까지 비밀번호를 완전히 사용하지 않겠다는 방향으로 움직이는 기업들은 얼마 되지 않는다. 디지털셰도우즈의 조사에 의하면 87%의 기업들이 적어도 하나 이상의 비밀번호가 업무 프로세스 안에서 사용된다고 한다. 비밀번호 없이 업무가 안 되는 기업이 절대 다수를 차지한다는 뜻이다.

기업들이 가장 먼저 비밀번호를 없애고 싶어 하는 건 워크스테이션 로그인 시스템에서였다. 그 다음은 레거시 애플리케이션, 클라우드 애플리케이션이 순위에 올랐다. 즉 계정이 탈취될 경우 가장 치명적으로 작용할 수 있는 요소들이 꼽힌 것이다. 그리고 이런 곳에 비밀번호 대신 적용될 수 있는 것으로는 FIDO 얼라이언스(FIDO Alliance)의 인증 기술이 첫 손에 꼽혔다. FIDO 얼라이언스는 10년 넘게 비밀번호 대체 기술을 연구해 온 단체다.

하지만 기업들이 아무리 비밀번호를 대체하고 싶어 해도 현실적인 문제들이 있어 실천이 어렵다. 그 현실적 문제 중 하나는 이제 보편화 된 ‘BYOD’이다. 직원들이 개인장비를 자유롭게 회사로 들고 들어와 네트워크에 연결해 업무에 활용하는 현상을 말한다. 이는 최근 코로나로 인해 재택 근무가 활성화 되고, 개인장비의 사용 비율이 높아지면서 더 넘기 힘든 문제가 됐다. 그래서 지난 5월 애플, 구글, 마이크로소프트는 비밀번호보다 편리하고 강력한 로그인 체제를 개발 적용하겠다고 발표하기도 했었다.

모건은 “확실히 비밀번호가 없는 미래로 가고 있는 것은 맞다”고 말한다. “다만 그 전진 속도가 너무 느리고, 그래서 그 사이에 피해를 입는 기업과 개인들이 늘어나고 있습니다. 미래에는 비밀번호가 없어질 것이기 때문에 비밀번호 보안에 대해 생각할 필요가 없지만, 그 전까지는 비밀번호를 안전하게 활용할 방법을 마련하고 보급해야 합니다. 그 방법이란 건 사실 간단합니다. 해독하기 어려운 비밀번호를 사용하고, 계정마다 다른 비밀번호를 설정하는 것입니다.”

3줄 요약
1. 현재 다크웹에서 거래되고 있는 비밀번호의 수는 246억 개.
2. 그 중 고유한(중복 없는) 비밀번호는 67억 개.
3. 비밀번호 없는 미래로 가고 있긴 하지만 속도가 너무 느림.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)