[프라임경제] 시만텍(사장 겸 CEO 대행·마이크브라운)은 최근 러시아 해킹 그룹이 42만개의 웹사이트에서 사용자 이름과 비밀번호를 수집한 사건과 관련해 강력한 비밀번호 사용과 이중 인증 방식의 도입, 비밀번호 관리 솔루션 사용이 필요하다고 7일 밝혔다.

최근 러시아 해킹 그룹이 42만개 웹사이트로부터 12억개의 사용자 이름과 비밀번호를 확보했다는 소식이 전해졌다. 보도에 따르면, 해킹은 포춘 500대 기업부터 중소 기업에 이르기까지 방대하게 이뤄졌으며 해킹 당한 사이트는 확인이 되지 않았지만, 이들 중 상당수가 여전히 공격에 취약하다고 밝혔다.

해킹 조직은 웹사이트의 취약점을 찾기 위해 봇넷(스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇(Bot)에 감염돼 해커가 마음대로 제어할 수 있는 좀비 PC들로 구성된 네트워크)을 사용한 것으로 알려졌다.

봇넷에 감염된 컴퓨터가 웹사이트에 접속하면 공격자들이 SQL 인젝션(SQL injection·특정 SQL문을 집어넣어 비정상적인 흐름으로 정보를 획득하는 방법) 공격을 감행해 해당 사이트의 취약점을 파악하는 것으로 나타났다. 사이트가 취약한 상태일 경우, 사이트를 기억해두었다가 다시 방문해 데이터베이스에서 정보를 탈취했다.

시만텍은 공격자들은 탈취한 정보의 상당수를 판매하지 않고 소셜 네트워크상에 스팸 메시지를 전송하는데 사용한 것으로 보인다고 설명했다.

이에 시만텍은 비밀번호 관리의 중요성을 강조했다. 보안사고는 현재의 비밀번호 시스템이 얼마나 취약한지 보여주고 있으며 무수히 많은 웹사이트에서 동일한 비밀번호를 사용하거나 쉽게 추측할 수 있는 비밀번호를 생성하고 있다고 설명했다.

그 결과, 만약 공격자가 하나의 웹사이트를 해킹해 사용자의 로그인 정보에 접근할 수 있다면 그 정보를 활용해 여러 다른 온라인 계정에 무단으로 접근할 수 있는 권한을 획득할 수 있는 가능성도 배제할 수 없다.

주요 취약점에 대한 언론 보도가 있다 해도 대다수의 사용자들은 비밀번호를 변경하지 않은 것으로 나타났다. 퓨 리서치 센터(Pew Research Center)의 최근 보고서에 따르면 하트블리드(Heartbleed) 취약점에 대해서 알고 있는 10명 가운데 비밀번호를 변경한 사람은 4명이 채 안 되는 것으로 조사됐다.

또한 스마트폰의 확산으로 '이중 인증(two-factor authentication)'의 인기가 높아지고 있다. 사용자가 비밀번호를 입력해 1차로 로그인을 하면 2차로 이메일, SMS 메시지, 모바일 앱 등을 통해 임시 인증 코드를 확인하는 것이다.

즉, 사용자의 비밀번호가 해킹되어도 공격자는 목표 계정에 침투하기 위해서 또 다른 인증 시스템에 접근해야 한다는 것. 이에 시만텍은 온라인 정보를 안전하게 보호하기 위해 사용자들에게 다음과 같은 보안 수칙을 준수할 것을 권고했다.

항상 보안 수준이 높은 강력한 패스워드를 설정하고, 같은 패스워드를 다른 웹사이트에서 재사용하지 않아야 하며 이중 인증을 제공하는 웹사이트를 사용할 것을 권장했다. 아울러 온라인 서비스마다 서로 다른 비밀번호를 안전하게 저장해주는 패스워드 관리 솔루션을 사용해야한다고 강조했다.

이를 위해 시만텍은 "이중인증 및 토큰 없는 리스크 기반 인증 환경을 모두 구현할 수 있는 기업용 시만텍 VIP(Validation and ID Protection Service) 서비스와 온라인 서비스마다 서로 다른 비밀번호를 안전하게 저장해주는 노턴 ID 세이프(Norton Identity Safe) 솔루션을 제공하고 있다"고 전했다.