시만텍(www.symantec.co.kr)이 최근 러시아 해킹 그룹이 42만개의 웹사이트에서 사용자 이름과 비밀번호를 수집한 사건과 관련해 강력한 비밀번호 사용과 이중 인증 방식의 도입, 비밀번호 관리 솔루션 사용이 필요하다고 밝혔다.

최근 러시아 해킹 그룹이 42만개 웹사이트로부터 12억개의 사용자 이름과 비밀번호를 확보했다는 소식이 전해졌다.

보도에 따르면 해킹은 포춘 500대 기업부터 중소기업에 이르기까지 방대하게 이뤄졌다. 해킹 당한 사이트는 확인이 되지 않았지만 이들 중 상당수가 여전히 공격에 취약하다고 밝혔다.

해킹 조직은 웹사이트의 취약점을 찾기 위해 봇넷(Botnets)을 사용한 것으로 알려졌으며 봇넷에 감염된 컴퓨터가 웹사이트에 접속하면 공격자들이 SQL 인젝션(SQL injection) 공격을 감행해 해당 사이트의 취약점을 파악하는 것으로 나타났다. 사이트가 취약한 상태일 경우 사이트를 기억해뒀다가 다시 방문해 데이터베이스에서 정보를 탈취했다.

공격자들은 탈취한 정보의 상당수를 판매하지 않고 소셜 네트워크상에 스팸 메시지를 전송하는데 사용한 것으로 보인다. 다른 사이버 범죄자들에게 이 정보들은 상당한 가치가 있는 정보이다.

만약 사람들이 다른 서비스에서도 같은 비밀번호를 사용한다면 공격자들은 확보한 개인 정보를 사용해 다른 계정에 접근해 피해자에 대한 더욱 민감한 정보를 취득할 수 있기 때문이다.

이번 보안사고는 현재의 비밀번호 시스템이 얼마나 취약한지 다시한번 보여주고 있다. 너무나 쉽게 무수히 많은 웹사이트에서 동일한 비밀번호를 사용하거나 쉽게 추측할 수 있는 비밀번호를 생성하고 있다.

그 결과 만약 공격자가 하나의 웹사이트를 해킹해 사용자의 로그인 정보에 접근할 수 있다면 그 정보를 활용해 여러 다른 온라인 계정에 무단으로 접근할 수 있는 권한을 획득할 수 있는 가능성도 배제할 수 없다.

주요 취약점에 대한 언론 보도가 있다 해도 대다수의 사용자들은 비밀번호를 변경하지 않는다.

퓨 리서치 센터의 최근 보고서에 따르면 하트블리드(Heartbleed) 취약점에 대해서 알고 있는 10명 가운데 비밀번호를 변경한 사람은 4명이 채 안 되는 것으로 조사됐다. 따라서 온라인 서비스 사용시 인증방법을 강화할 수 있는 방안에 대한 고민이 시급한 상황이다.

스마트폰의 확산으로 ‘이중 인증(two-factor authentication)’의 인기가 높아지고 있다. 사용자가 비밀번호를 입력해 1차로 로그인을 하면 2차로 이메일, SMS 메시지, 모바일 앱 등을 통해 임시 인증 코드를 확인하는 것이다. 즉 사용자의 비밀번호가 해킹돼도 공격자는 목표 계정에 침투하기 위해서 또 다른 인증 시스템에 접근해야 한다.

안전한 로그인을 위한 다음 단계로 생체인증을 꼽을 수 있다. 생체인증은 기존에 있었던 기술이지만 지난해 애플이 지문 센서를 아이폰5S에 적용하면서 대중화됐다. 사용자가 홈 버튼에 손가락을 갖다 대기만 해도 폰 잠금이 해제되거나 아이튠즈 구매 인증을 할 수 있다. 애플 외에 다른 스마트폰 제조사들도 지문 인식 기능을 제조 단말기에 적용했고 6월 애플은 모든 앱에 대해 지문 인식 기능을 사용할 수 있도록 했다.

지문 인식이 스마트폰 생체 인증의 전부는 아니다. 삼성은 최근 사용자의 홍채를 감지해 신원을 확인하는 기기를 개발할 계획이라고 밝혔다.

인증 방식은 앞으로도 계속 진화할 것으로 예상된다. 구글에서 어드밴스드 테크놀로지&프로젝트 그룹(Advanced Technology and Projects group)을 이끌고 있는 레지나 듀건(Regina Dugan)은 전자 문신이나 알약을 이용해 인증 하는 방식을 제안한 바 있다.

또한 옥스포드 바이오크로노메트릭스(Oxford BioChronometrics)가 개발한 시스템은 사용자가 기기를 사용할 때 수행하는 다양한 수많은 행동을 측정한다. 예를 들어 사용자가 글자를 입력할 때 폰을 기울이는 방식, 스크롤 속도, 마우스 움직임 등을 측정한다. 이렇게 측정한 정보를 통합해 사용자의 ‘전자 DNA(electronically Defined Natural Attributes)’를 구성하고 이 DNA 정보가 사용자 인증에 사용된다.

캠브리지 대학의 과학자 프랭크 스타야노(Frank Stajano)는 전자 아우라(Electronic Aura)를 통해 비밀번호 문제를 해결할 수 있다고 말했다. 사용자가 전자 아우라를 생성하는 악세서리를 착용하거나 피하에 삽입하면 사람의 몸에서 1미터 정도의 거리까지 전자 아우라를 확장해 근처에 있는 자동차의 문을 열 수 있다.

시만텍은 온라인 정보를 안전하게 보호하기 위해 사용자들에게 ▲항상 보안 수준이 높은 강력한 패스워드를 설정하고 같은 패스워드를 다른 웹사이트에서 재사용하지 않는다 ▲이중 인증을 제공하는 웹사이트를 사용한다 ▲온라인 서비스마다 서로 다른 비밀번호를 안전하게 저장해주는 패스워드 관리 솔루션을 사용한다 등의 보안 수칙을 준수할 것을 권고했다.

한편 시만텍은 이중인증 및 토큰 없는 리스크 기반 인증 환경을 모두 구현할 수 있는 기업용 시만텍 VIP(Validation and ID Protection Service) 서비스와 온라인 서비스마다 서로 다른 비밀번호를 안전하게 저장해주는 노턴 ID 세이프(Norton Identity Safe) 솔루션을 제공하고 있다. <voxpop@cctvnews.co.kr>

이광재 기자 다른기사 보기