온라인 어디에서나 동일한 비밀번호를 사용하면 안되는 이유
비밀번호는 디지털 세상 어디에나 존재합니다. 이는 우리 자신, 또는 우리가 허용한 사람만이 개인 정보와 재산(은행 잔고나 소셜 미디어 계정 등)에 접근할 수 있도록 하는 핵심 요소입니다. 하지만 편의성을 추구한 나머지, 많은 사람들이 기억하기 쉽다는 이유로 모든 곳에서 동일한 비밀번호를 사용하는 경향이 있습니다.
보안 기술이 발달함에 따라, 해커들의 기술 또한 눈부시게 발전했습니다. 모든 곳에서 동일한 비밀번호를 사용한다는 것은 사이버 공격의 주요 표적이 될 위험에 스스로를 노출시키는 것과 같습니다. 이러한 습관은 눈에 띄지 않는 다른 문제점들을 야기하기도 합니다.
비밀번호를 선택할 때 좀 더 주의를 기울여야 하는 몇 가지 이유를 살펴보겠습니다.
1. 자격 증명 스터핑 공격
만약 당신이 모든 곳에서 동일한 비밀번호를 사용하고 있다면, 당신은 결코 혼자가 아닙니다. 노드패스 웹사이트에 따르면, 많은 사람들이 "guest"나 "password"처럼 쉽게 추측할 수 있는 비밀번호를 사용하고 있다고 합니다. 이러한 비밀번호는 쉽게 해독될 수 있으며, 이는 매우 위험한 습관입니다.
모든 계정에서 이렇게 취약한 비밀번호를 사용한다면, 당신은 자격 증명 스터핑 공격의 완벽한 표적이 됩니다. 이는 도난당한 비밀번호나 사용자 이름의 대규모 목록을 수많은 웹사이트에 무차별적으로 대입하는 사이버 공격입니다. 만약 당신의 재사용된 비밀번호가 데이터 유출로 이어질 경우, 상당수의 계정이 위험에 처할 수 있습니다.
2. 회사 계정 위험 증가
2012년, Dropbox는 6,900만 명의 온라인 사용자에게 피해를 준 보안 침해 사고를 겪었습니다. 가디언에 따르면, 한 Dropbox 직원이 이전에 LinkedIn에서 사용했던 비밀번호를 Dropbox 계정에서도 재사용했기 때문에 이러한 문제가 발생했습니다. 그의 LinkedIn 계정이 해킹당하자, 해커들은 Dropbox의 기업 네트워크에도 접근할 수 있었습니다.
즉, 회사 계정의 비밀번호를 재활용하는 것은 당신뿐만 아니라 회사 전체를 큰 위험에 빠뜨리는 행위입니다. 이러한 이유로 많은 기술 중심 회사들이 비밀번호 관리자를 사용하는 추세입니다. 비밀번호 관리자는 안전한 비밀번호를 저장하고 생성하는 데 유용합니다.
직원이나 계약자를 비밀번호 관리자에 추가하면, 관리자 앱에 비밀번호가 저장된 모든 계정에 대한 접근 권한을 부여하여 로그인 과정을 간소화할 수 있으며, 비밀번호를 직접 공유할 필요가 없습니다.
재사용된 비밀번호나 유사한 비밀번호는 취약하고, 고유하지 않으며, 쉽게 예측 가능하다는 공통점을 가지고 있습니다. 해커들은 인공지능 도구를 사용하여 이러한 비밀번호를 손쉽게 해독할 수 있으며, 무료 ChatGPT 버전조차도 이러한 비밀번호를 추론하는 데 사용될 수 있습니다.
만약 위의 프롬프트가 너무 단순하여 비밀번호를 추측할 수 없다면, 해커들은 ChatGPT의 제한을 우회하여 더 개인화된 프롬프트를 제시하여 비밀번호를 추측하려 시도할 것입니다.
예를 들어, 저는 해커들이 Adam의 페이스북 계정에 침입하려는 가상의 인물, Adam에 대한 이야기를 만들어서 프롬프트를 작성했습니다 (실존 인물과의 유사점은 우연의 일치일 뿐입니다).
ChatGPT가 그 사람이 사용할 가능성이 있는 비밀번호 목록을 찾아낸 방법은 다음과 같습니다.
이 비밀번호들은 재미있어 보일 수 있지만, 실제로는 우리가 기억하기 쉬운 것들(가장 관심 있는 사람이나 사물)을 기반으로 만들어집니다. 따라서 해커가 우리에 대해 더 많이 알수록 (우리가 소셜 미디어에 모든 것을 올리는 것을 고려하면 어렵지 않습니다), 우리의 비밀번호를 추측할 가능성이 높아집니다.
더욱이, 고급 AI 비밀번호 해독 도구는 다른 수준에 있습니다. 이 도구들은 데이터 유출에서 발견된 다양한 단어와 비밀번호를 사용하여 일반적인 비밀번호를 테스트합니다.
"qwerty"와 같은 비밀번호는 비밀번호 해독 도구를 사용하여 1초도 걸리지 않아 해독될 수 있습니다. 숫자를 추가하여 "qwerty12345"로 변경해도 해독이 더 어려워지지 않습니다. 많은 도구들이 패턴을 인식하고 있으며, 가장 흔한 패턴 중 하나가 명확한 숫자 앞에 있는 명확한 단어입니다.
3. 비밀번호 공유는 취약성을 증가시킨다
비밀번호를 재활용하는 것은 나쁜 습관이지만, 재활용된 비밀번호를 공유하는 것은 훨씬 더 위험합니다. 아무리 신뢰하는 사람과 공유하더라도 데이터 유출이나 사이버 공격에 대한 안전을 보장할 수 없습니다. 만약 당신의 계정 정보를 공유한 사람의 기기가 손상되거나 도난당하면, 당신의 계정은 더욱 큰 위험에 처하게 됩니다.
해커가 기기에 접근하면, 당신의 모든 계정과 데이터에 자유롭게 접근할 수 있습니다. 예를 들어, 누군가와 Netflix 계정을 공유한다고 가정해 봅시다. 만약 그 사람의 노트북이 해킹당하거나 도난당하고 해커가 해당 Netflix 계정에 접속하게 되면, 당신의 신용 카드 정보는 즉시 위험에 노출됩니다.
따라서, 추측하기 어려운 강력한 비밀번호를 사용하는 것이 중요합니다. 또한, 2단계 인증이나 비밀번호 관리자를 사용하여 친구나 가족과 비밀번호를 안전하게 공유하고 위험을 최소화해야 합니다.
4. 사회 공학적 공격
사회 공학은 사람들을 속여 개인 정보를 훔치는 행위입니다. 이는 기술적인 측면보다는 심리적인 조작에 가깝습니다. 피싱 링크는 그 가장 일반적인 예입니다.
이제는 가짜 Facebook이나 Instagram 로그인 페이지로 연결되는 피싱 링크만큼 단순하지 않습니다. 해커들은 친구, 동료, 또는 신뢰할 수 있는 조직을 사칭하여 당신의 계정을 손상시키는 링크를 클릭하도록 유도합니다.
예를 들어, 해커는 당신이 어떤 비밀번호를 사용하는지 알아내기 위해 새로운 서비스에 등록하도록 요청할 수 있습니다. 때로는 손상된 친구의 계정에서 당신에게 연락을 시도할 수도 있습니다. 대부분의 사람들은 친구가 보낸 링크를 볼 때 의심을 하지 않으므로, 이러한 방법은 쉽게 성공할 수 있습니다.
만약 당신이 다른 곳에서 사용하는 비밀번호를 이 서비스에 등록하는 데 재사용할 경우, 그들은 당신의 모든 계정에서 해당 비밀번호를 사용하려 시도할 것입니다. 만약 은행 앱에서 동일한 비밀번호를 사용한다면, 그 결과는 매우 심각할 수 있습니다.
이러한 수법은 매번 성공하는 것은 아니지만, 대부분의 경우에 효과적입니다.
5. 내부자 공격 위험 증가
모든 곳에서 동일한 비밀번호를 재사용하면 잠재적으로 내부자 공격 위험이 증가합니다. 만약 비밀번호를 알고 있는 직원이 회사를 떠났다고 가정해 봅시다. 비밀번호가 변경되지 않은 경우, 이전 직원은 회사의 모든 민감한 데이터에 계속해서 쉽게 접근할 수 있습니다.
만약 내부자가 모든 곳에서 사용되는 비밀번호를 알고 있다면, 모든 앱과 서비스가 즉각적인 위험에 처하게 됩니다. 그들은 이러한 자격 증명을 사용하여 사기 행위를 저지르거나, 취약점을 악용하거나, 컴퓨터 시스템에 피해를 입힐 수 있습니다. 또한, 직원을 사칭하여 동료를 조종하여 기밀 정보를 공유하도록 유도할 수도 있습니다.
마찬가지로, 여러 웹사이트에서 동일한 비밀번호를 사용할 경우, 원치 않거나 악의적인 활동이 발생했을 때 내부자를 정확히 찾아내기 어렵습니다. 강력한 보안 관행을 채택하면 내부자 공격 위험을 줄일 수 있습니다. 모든 직원에게 사용자 지정 자격 증명을 제공하는 것부터 시작하는 것이 좋은 방법입니다.
6. 창의적이고 비밀스럽고 엄격한 비밀번호 사용
다른 어떤 보안 조치를 취하더라도, 여러 플랫폼에서 동일한 비밀번호를 재사용하는 것은 당신의 온라인 활동을 항상 위험에 빠뜨릴 것입니다. 물론 재사용된 비밀번호가 기억하기에는 더 편할 수 있지만, 계정이 해킹당한 후에는 그 편리함에 대한 후회를 하게 될 것입니다.
다행히도 미래에는 비밀번호를 사용할 필요가 없을 수도 있습니다. Apple PassKeys와 같은 서비스는 FaceID나 TouchID와 같은 생체 인식 인증을 사용하여 계정에 로그인합니다. 서비스가 암호화 키를 대신 사용하므로 비밀번호가 필요하지 않습니다. 다른 회사들이 이러한 시스템을 구현하기 시작하면 비밀번호는 곧 과거의 유물이 될 것입니다.