아무리 복잡한 비밀번호라도 곧 해킹되는 이유

모든 데이터 유출의 80% 이상이 비밀번호와 관련이 있습니다. 각 계정마다 복잡하고 서로 다른 비밀번호를 사용하면 보안을 강화할 수 있습니다. 그러나 강력한 비밀번호를 사용하는 고객 계정이라도 해킹될 수 있습니다.

앱이나 웹사이트 등 디지털 계정에 로그인할 때 사용자 이름과 비밀번호의 조합이 떠오릅니다. 비밀번호는 수천 년 동안 사용되어 왔습니다. 이는 개인 간에 기밀로 유지되고 신원을 증명하는 데 사용되는 공유 정보라는 단순한 개념입니다.

사람들이 인생의 많은 부분을 온라인에서 보내는 시대에 이러한 단순한 개념의 사용은 널리 퍼져 있습니다. 설문 조사에 따르면 최근 몇 년 동안 새로운 앱과 온라인 서비스의 폭발적인 증가에 대응하여 사용자당 비밀번호로 보호되는 계정 수가 기하급수적으로 증가했습니다. NordPass가 의뢰한 한 연구에 따르면 2019년에서 2020년 사이에 사용자당 비밀번호 수가 평균 83개에서 100개로 20% 증가한 것으로 나타났습니다.

비밀번호로 보호되는 계정 수의 증가는 처음에는 문제가 되지 않습니다. 그러나 사용자가 비밀번호를 설정하고 관리하는 방식은 실제로 문제가 됩니다. 비밀번호는 정적이므로 사용자가 기억하거나 포스트잇이나 비밀번호 관리자에 저장해야 합니다. 일반적인 사람은 7개의 문자 또는 숫자 조합만 기억할 수 있으므로 100개의 개별 비밀번호를 기억하는 것은 상당히 고통스러울 수 있습니다. 결과적으로 사용자는 가족 구성원의 이름, 생년월일 또는 인터넷에서 가장 많이 사용되는 비밀번호인 123456과 같은 간단한 비밀번호를 사용하는 경향이 있습니다. 그렇다면 왜 비밀번호가 애초에 보안 문제일까요?

비밀번호 재사용은 보안 침해의 가장 큰 원인입니다#

모든 계정을 관리하기 위해 사용자의 52%가 비밀번호를 재사용하여 심각한 결과를 초래합니다. 이로 인해 해커는 가장 취약한 링크(가장 보안 기준이 낮은 웹사이트)를 공격하여 여러 계정에 액세스할 수 있습니다. 예를 들어 Facebook 계정은 복잡한 비밀번호와 강력한 보안 기준으로 보호됩니다. 그러나 귀하의 크리덴셜이 2008년 3억 5942만 698개의 크리덴셜이 도난당한 MySpace 유출과 같은 이전 데이터 유출에 포함되었을 가능성이 큽니다. 그리고 이것은 단지 하나의 예일 뿐입니다. Forbes에 따르면 도난당한 크리덴셜의 수는 2018년 이후 300% 증가했습니다. 오늘날 누구나 인터넷에서 10만 건의 데이터 유출을 통해 얻은 150억 개 이상의 크리덴셜을 구매할 수 있습니다. 이러한 크리덴셜을 사용하여 해커는 수백 개의 플랫폼에서 대규모 로그인 요청을 수행하여 계정에 액세스합니다(소위 크리덴셜 스터핑 공격).

복잡한 비밀번호조차도 안전하지 않습니다#

이러한 널리 알려진 위험에도 불구하고 유출된 크리덴셜의 70%는 여전히 사용 중입니다. 일반적으로 크리덴셜 스터핑 공격은 비밀번호 관리자와 함께 각 플랫폼의 각 계정마다 서로 다르고 복잡한 비밀번호를 사용함으로써 방지할 수 있습니다. 그러나 복잡한 비밀번호조차도 몇 초 안에 쉽게 해킹될 수 있습니다. 작년에 상상할 수 있는 모든 비밀번호를 생성하려는 컴퓨터에 대한 기록이 세워졌습니다. 초당 천억 번의 추측을 초과하는 속도를 달성했습니다. 무작위 사용자 이름/비밀번호 조합을 시도하기 위해 이러한 스크립트를 사용하는 것을 브루트 포스 방식이라고 합니다.

하지만 브루트 포스에 의해 비밀번호가 해킹되지 않았더라도 완전히 안전한 것은 아닙니다. 고객으로서 로그인하는 플랫폼의 보안 기준을 신뢰해야 합니다. 보호가 약한 경우 비밀번호가 아무리 복잡하더라도 도난당할 수 있습니다.

해커는 창의적이며 끊임없이 방법을 개선합니다#

불행히도 크리덴셜 스터핑과 브루트 포스는 고객 계정에 무단으로 액세스하는 유일한 방법이 아닙니다. 널리 퍼진 또 다른 기술은 피싱으로, 원본 사이트의 가짜 사용자 인터페이스를 사용하여 사용자가 크리덴셜을 입력하도록 속입니다. 다른 방법으로는 공용 Wi-Fi 네트워크와 같은 통신 스트림을 가로채는 중간자 공격이나 컴퓨터에 맬웨어를 설치하여 크리덴셜을 탈취하는 키로깅이 있습니다.

비밀번호가 존재하는 한 고객 계정은 해킹될 것입니다#

위에 설명된 문제는 모든 데이터 유출 및 해킹 공격의 80% 이상이 비밀번호로 인해 발생하는 이유이며, 인증을 처리하기 위해 사용자 이름과 비밀번호 이상의 더 나은 접근 방식이 필요함을 강조합니다. 이중 인증(2FA)과 같은 발전은 보안 측면에서 올바른 방향으로 가고 있지만 사용자 채택률은 매우 낮습니다. 그렇다면 비밀번호를 완전히 생략하고 패스워드리스로 전환하는 것은 어떨까요? 흥미로우신가요? Corbado의 패스워드리스 솔루션을 탐색하고 미래 인증의 첫인상을 얻으십시오!

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →

자주 묻는 질문(FAQ)#

고유하고 복잡한 비밀번호를 사용하는 것만으로는 계정을 안전하게 유지하기에 충분하지 않은 이유는 무엇인가요?#

비밀번호를 저장하는 플랫폼의 보안 표준이 취약한 경우, 아무리 복잡한 비밀번호라도 손상될 수 있습니다. 강도에 관계없이 취약한 서버에서 모든 비밀번호를 도난당할 수 있기 때문입니다. 암호화가 적용되기도 전에 피싱, 키로깅, 중간자 공격과 같은 기술을 통해 크리덴셜을 탈취할 수 있으므로, 비밀번호가 아무리 복잡하더라도 비밀번호 자체가 가장 약한 고리가 됩니다.

크리덴셜 스터핑이란 무엇이며, 도난당한 크리덴셜의 규모가 왜 그렇게 위험할까요?#

크리덴셜 스터핑은 한 곳의 데이터 유출에서 도난당한 사용자 이름과 비밀번호 쌍을 가져와 수백 개의 다른 플랫폼에서 자동으로 테스트하는 것을 말합니다. 10만 건의 데이터 유출에서 150억 개 이상의 크리덴셜을 온라인으로 구매할 수 있기 때문에 공격자는 방대한 데이터 세트를 활용할 수 있으며, 2008년 MySpace 데이터 유출만으로도 3억 5,900만 개 이상의 크리덴셜이 노출되어 피해자가 비밀번호를 재사용한 곳이라면 어디서든 악용될 수 있습니다.

위험을 알고 있음에도 불구하고 왜 이렇게 많은 사용자가 여전히 취약하거나 재사용된 비밀번호에 의존할까요?#

일반적인 사람은 7개 정도의 문자나 숫자의 조합만 확실하게 기억할 수 있으므로 100개의 고유하고 복잡한 비밀번호를 기억하는 것은 사실상 불가능합니다. 이러한 인지적 한계로 인해 사용자의 52%가 여러 계정에서 비밀번호를 재사용하게 되며, 이로 인해 해커는 사용자가 가입한 가장 보안이 취약한 단일 플랫폼을 타겟팅하여 여러 서비스에 액세스할 수 있습니다.

이중 인증과 같은 솔루션이 비밀번호를 완전히 대체하기에 충분한가요?#

이중 인증은 보안 측면에서 올바른 방향으로 나아가고 있지만 사용자 채택률이 여전히 꽤 낮아 실질적인 효과가 제한적입니다. 더 유망한 방향은 패스워드리스 인증을 통해 비밀번호를 완전히 없애는 것으로, 피싱, 브루트 포스 및 크리덴셜 스터핑 공격의 근간이 되는 정적인 공유 비밀을 근본적으로 제거합니다.