비밀번호는 무단 침입으로부터 개인 데이터와 자산을 보호하는 수단으로 사용되기 때문에 어디에나 널리 퍼져 있습니다. 이러한 중요성에도 불구하고 개인은 편의성 때문에 여러 플랫폼에서 동일한 자격 증명을 사용하는 등 비밀번호를 대수롭지 않게 여기는 경우가 많습니다.
수많은 애플리케이션과 서비스의 보안 기능이 눈에 띄게 향상되었음에도 불구하고 사이버 범죄자들 사이에서는 그에 못지않은 놀라운 발전이 있었습니다. 여러 플랫폼에서 동일한 비밀번호를 반복적으로 사용하면 사이버 공격에 대한 취약성이 높아집니다. 또한 이러한 습관은 즉각적으로 드러나지 않는 추가적인 해로운 결과를 초래할 수 있습니다.
디지털 정보의 보안을 보장하기 위해서는 강력한 비밀번호를 신중하고 세심하게 선택하는 것이 중요합니다. 이러한 사전 예방적 접근 방식은 무단 액세스를 방지하고 잠재적인 침해로부터 민감한 데이터를 보호하는 데 도움이 됩니다.
크리덴셜 스터핑 공격
모든 곳에서 동일한 비밀번호를 사용하는 것은 혼자가 아닙니다. NordPass 웹사이트 에 따르면 많은 사람들이 “guest”, “password”와 같이 추측하기 쉬운 비밀번호를 사용합니다. 직관적이지 않아 보이는 이러한 비밀번호는 해독하는 데 거의 시간이 걸리지 않기 때문에 이는 끔찍한 관행입니다.
여러 플랫폼에서 ‘123456’과 같은 표준 이하의 비밀번호를 사용하면 다양한 온라인 사이트에 손상된 로그인 인증정보를 무차별적으로 삽입하는 크리덴셜 스터핑 공격에 취약해질 수 있습니다. 이러한 비밀번호를 사용하는 계정이 데이터 유출의 희생양이 되면 다른 수많은 계정이 위험에 처할 가능성이 높아집니다.
기업 계정을 위험에 빠뜨리다
2012년 Dropbox는 6,900만 명의 온라인 사용자에게 영향을 미치는 유출 사고를 겪었습니다. 가디언 에 따르면 이 유출 사고는 Dropbox 직원이 이전에 LinkedIn에서 사용했던 것과 동일한 비밀번호를 Dropbox에서 재사용했기 때문에 발생했습니다. 이 직원의 LinkedIn 계정이 해킹당했을 때 해커들은 Dropbox의 기업 네트워크에도 액세스할 수 있었습니다.
여러 계정에서 로그인 자격 증명을 재사용하는 것은 개인 사용자뿐 아니라 조직 전체에 심각한 위험을 초래할 수 있습니다. 특히 민감한 정보가 위험에 처할 수 있는 기업 계정의 경우에는 더욱 그렇습니다. 이러한 위협을 완화하기 위해 많은 기술 선진 기업들이 비밀번호 관리 도구를 활용하기 시작했습니다. 이러한 솔루션을 통해 사용자는 강력한 비밀번호를 안전하게 저장하고 생성할 수 있으므로 보안 침해 가능성을 줄일 수 있습니다.
개인의 직원 또는 서비스 제공업체를 비밀번호 저장 솔루션에 통합하여 특정 애플리케이션이 보유한 모든 계정 로그인에 대한 입력 권한을 획득함으로써 인증 절차를 간소화하고 민감한 정보를 공유할 필요성을 없애고 있습니다.
AI 도구로 추측하기 쉬움
재활용되거나 유사한 비밀번호 조합을 사용하는 것은 특이성이 부족하고 예측 가능성에 취약하기 때문에 차선의 보안 조치에 해당합니다. 사이버 범죄자는 인공지능 기반 도구를 사용하여 이러한 유형의 비밀번호를 쉽게 알아낼 수 있으며, 여기에는 ChatGPT의 기본 반복으로 생성할 수 있는 비밀번호도 포함됩니다:
ChatGPT에서 제공하는 초기 프롬프트가 개인의 비밀번호에 액세스하기에 충분하지 않은 경우, 사이버 범죄자는 무단 액세스를 위해 다른 접근 방법을 고안하는 것으로 알려져 있습니다. 이러한 전술에는 사용자로부터 민감한 정보를 빼내는 데 더 적합한 맞춤형 쿼리를 만드는 것이 포함됩니다.
이전 답변에서 Adam이라는 사람이 자신의 Facebook 계정에 무단으로 액세스하려는 사이버 범죄자의 표적이 되었다는 가상의 시나리오를 제시했습니다.
ChatGPT는 암호화와 복호화를 포함하는 반복적인 프로세스와 이전 비밀번호 사용 추세를 기반으로 한 패턴 인식 알고리즘을 통해 개인이 사용할 수 있는 잠재적 비밀번호 목록을 고안했습니다.
어떤 사람들은 특정 비밀번호를 재미있게 생각할 수도 있지만, 개인은 개인적인 관심사나 사랑하는 사람과 관련된 기억에 남는 비밀번호를 선택하는 것이 일반적입니다. 따라서 개인의 소셜 미디어 프로필에 액세스하는 사이버 범죄자는 종종 개인의 비밀번호를 더 정확하게 추측할 수 있습니다. 이러한 취약성 증가는 해커가 사용자가 온라인에서 공유하는 수많은 정보에 접근할 수 있다는 사실에서 비롯됩니다.
최첨단 AI 비밀번호 해독 도구는 완전히 다른 차원에서 작동합니다. 이러한 도구는 일반적으로 사용되는 비밀번호를 평가하기 위해 단어 기반 및 데이터 유출에서 얻은 비밀번호 순열을 활용하는 등 다양한 접근 방식을 사용합니다.
“쿼티”와 같은 비밀번호를 사용하면 최신 비밀번호 해독 도구가 몇 초 내에 쉽게 해독할 수 있기 때문에 단순성으로 인해 심각한 보안 위험이 있습니다. 숫자 값을 추가하거나 끝에 “12345”를 추가하는 등 약간의 수정을 가한다고 해서 사이버 공격에 대한 견고성이 크게 향상되지는 않습니다. 실제로 많은 해킹 도구는 반복되는 패턴을 일상적으로 검색하는데, 가장 많이 사용되는 패턴은 눈에 띄는 단어와 인식 가능한 숫자입니다.따라서 이러한 특성을 보이는 취약한 비밀번호를 사용하면 개인 정보 보호 및 보안과 관련하여 심각한 결과를 초래할 수 있습니다.
비밀번호를 공유하면 더 취약해짐
재활용된 비밀번호를 사용하는 것은 바람직하지 않을 수 있지만, 이렇게 재사용된 자격 증명을 다른 사람에게 공개하면 더 큰 보안 위협이 될 수 있습니다. 다른 사람에 대한 신뢰 수준에 관계없이 잠재적인 데이터 유출이나 사이버 공격을 예측하고 방지하는 것은 불가능합니다. 또한 이러한 정보를 받은 사람이 디바이스 침입이나 도난을 경험하면 자신의 계정에 대한 취약성이 크게 증폭됩니다.
디바이스에 무단으로 침입하면 디바이스에 포함된 모든 계정과 정보가 악용될 수 있는 위험에 노출됩니다. 예를 들어, 한 개인이 다른 사람과 넷플릭스 구독을 공유하는 시나리오를 생각해 보겠습니다. 이러한 상황에서 전자의 노트북이 사이버 침입이나 도난의 희생양이 되면 후자의 신용카드 정보가 아무런 경고 없이 위험에 노출될 수 있습니다.
무엇보다도, 추론하기 어려운 강력한 비밀번호를 사용하세요. 그다음, 2단계 인증 또는 비밀번호 관리 시스템을 활용하면 지인들 간에 로그인 자격 증명을 안전하게 공유하는 동시에 잠재적인 위험을 줄일 수 있습니다.
소셜 엔지니어링 공격
소셜 엔지니어링은 기만적인 수단을 통해 민감한 개인 데이터를 획득할 목적으로 인간의 심리를 교묘하게 악용하는 것을 포함합니다. 일반적인 믿음과는 달리, 소셜 엔지니어링은 광범위한 기술적 전문 지식이 필요하지 않으며, 오히려 교활함과 설득의 영역에 속합니다. 소셜 엔지니어링의 대표적인 예로 피싱 이메일을 들 수 있는데, 피싱 이메일은 유혹적인 제목이나 긴급한 문구를 사용하여 개인이 포함된 링크를 클릭하도록 유도하여 궁극적으로 개인 정보를 침해하는 경우가 많습니다.
최근의 사이버 공격에서 해커들은 단순히 사용자를 Facebook이나 Instagram과 같은 소셜 미디어 플랫폼의 복제본으로 유도하는 기만적인 피싱 링크를 만드는 것 이상으로 더 발전된 수법을 개발했습니다. 해커는 이러한 사기성 링크를 통해 지인, 동료 또는 평판이 좋은 기관을 사칭하여 온라인 계정의 보안을 위협하는 경우가 많습니다.
경우에 따라 사이버 범죄자는 새로 시작하는 벤처에 등록하고 비밀번호를 제공하도록 요구하여 사용자의 참여를 유도할 수 있습니다. 이는 사용자 모르게 해킹된 친구의 계정을 통해 이루어질 수 있습니다. 많은 사람이 지인이 보낸 링크를 신뢰하는 경향이 있기 때문에 해커들이 흔히 사용하는 수법입니다.
이 플랫폼에서 계정을 만드는 과정을 간소화하기 위해 이전에 사용했던 비밀번호를 사용할 가능성이 높습니다. 따라서 이러한 단체는 이 동일한 비밀번호를 익숙한 다른 온라인 서비스에도 적용하려고 시도할 수 있습니다. 그러나 재무 관리 애플리케이션에 동일한 비밀번호를 사용하기로 선택한 경우, 이러한 결정과 관련하여 상당한 불편과 잠재적인 보안 위험이 발생할 가능성이 높습니다.
이 방법이 모든 상황에서 효과적인 것은 아니지만, 일반적으로 신뢰할 수 있으며 많은 경우에 적용할 수 있습니다.
내부자 공격 위험 증가
여러 플랫폼에서 동일한 로그인 자격 증명을 사용하는 관행은 내부 위협과 관련된 위험을 증폭시킬 수 있습니다. 예를 들어, 특정 비밀번호를 알고 있는 직원이 퇴사하는 경우 비밀번호가 변경되지 않는 한 해당 직원은 모든 기밀 정보에 계속 자유롭게 액세스할 수 있습니다.
내부자가 여러 애플리케이션과 서비스에서 사용되는 범용 비밀번호를 알고 있는 경우 보안에 대한 즉각적인 위협이 존재합니다. 이 개인은 이러한 자격 증명을 사기 행위, 시스템의 취약점 이용, 디지털 인프라 손상 등 악의적인 목적으로 사용할 수 있습니다. 또한 허위 신원을 사용하거나 직원을 사칭하여 동료에게 민감한 데이터를 유출하도록 강요할 수도 있습니다.
비슷한 맥락에서, 여러 사이트에 동일한 비밀번호를 사용하면 무단 활동 발생 시 가해자를 식별하는 데 장애가 됩니다. 내부 위협의 가능성을 완화하려면 강력한 사이버 보안 조치를 구현하는 것이 좋습니다. 한 가지 효과적인 전략은 조직 내 각 직원에게 고유한 로그인 정보를 제공하는 것입니다.
비밀번호를 창의적이고 비밀스럽고 엄격하게 사용하세요
디지털 신원을 보호하기 위해서는 추가적인 보안 계층을 구현하는 것이 필수적이지만, 여러 플랫폼에서 일관된 비밀번호를 사용하는 것은 여전히 내재된 취약점이라는 점을 인식하는 것이 중요합니다. 이러한 방식은 암기 측면에서 어느 정도 간편함을 제공할 수 있지만, 로그인 자격 증명이 유출될 경우 잠재적으로 해로운 결과를 초래할 수 있습니다.
가까운 미래에 비밀번호 요구 사항이 완전히 사라질 수도 있습니다. Apple의 PassKey와 같은 많은 서비스는 안면 인식 및 지문 스캔을 포함한 고급 생체 인식 방법을 사용하여 사용자를 안전하게 인증합니다.이러한 시스템은 기존의 텍스트 기반 비밀번호 대신 암호화 키를 사용하여 신원을 확인합니다. 이 기술을 채택하는 조직이 점점 더 많아지면서 비밀번호를 사용하는 구식 관행은 결국 쓸모없게 될 수 있습니다.