Home > 전체기사

사용자들 대부분 비밀번호 침해된 거 알고도 그냥 사용한다

  |  입력 : 2019-08-19 09:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비밀번호 침해 가능성 높다는 경고 받고 실제 바꾼 경우는 겨우 26%
인기 높지 않은 웹사이트의 경우 비밀번호 재사용 확률 2.5배로 늘어나기도


[보안뉴스 문가용 기자] 구글이 크롬의 확장 프로그램인 패스워드 체크업(Password Checkup) 사용자들로부터 수집하고 정리한 데이터를 발표했다. 사용자들의 비밀번호 사용 습관과 관련된 흥미로운 내용이었다.

[이미지 = iclickart]


패스워드 체크업은 지난 2월 발표된 것으로, 과거 정보 유출 사건으로 침해된 것으로 알려진 크리덴셜을 사용해 로그인을 시도할 때마다 사용자들에게 경고 메시지를 보내는 기능을 가지고 있다. 사용자가 입력한 사용자 이름과 비밀번호를 40억 개가 넘는 기록이 저장된 데이터베이스와 비교하는 것이다.

구글에 의하면 현재까지 이 확장 프로그램이 설치된 횟수는 65만 번이 넘는다고 한다. 출시되고서 1달이 지난 시점에 약 2100만 개의 크리덴셜에 대한 스캔이 진행됐다. 그 중 1.5%(31만 6천여 개)가 안전하지 않은 것으로 나타났다.

그런데 ‘정보 유출 사고로 인해 침해된 것으로 보이는 비밀번호’라는 경고를 받고 실제 비밀번호를 바꾼 사용자는 26%뿐이었다. 바뀐 소수의 비밀번호 중에서도 추측 공격에 당하지 않을 거라고 보이는 건 60% 정도였다.

심지어 각별한 보호가 필요한 민감한 계정에도, 침해된 것으로 보이는 비밀번호를 변경 없이 그대로 사용하는 경우가 있었다.
1) 이메일 : 0.5%
2) 금융 : 0.3%
3) 정부 : 0.2%
4) 엔터테인먼트 : 6.3%
5) 뉴스 : 1.9%
6) 쇼핑 : 1.2%

구글은 자사 블로그를 통해 “인기가 높은 웹사이트들이 아니라면 취약한 비밀번호가 재사용될 확률이 2.5배는 높아진다”며 “이 때문에 계정 탈취와 하이재킹 위험이 커지고 있다”고 경고했다.

구글은 이러한 발표를 하며 패스워드 체크업에 새로운 기능이 추가됐다는 사실도 공개했다. 하나는 사용자들이 패스워드 체크업에 관한 의견을 쉽게 보낼 수 있도록 하는 것이며, 다른 하나는 익명의 텔레메트리 정보를 구글로 전송하는 툴을 비활성화시킴으로써 사용자들이 데이터를 보다 원활하게 제어할 수 있도록 해주는 것이다.

뿐만 아니라 구글의 연구원들은 스탠포드대학과 공동으로 클라이언트가 데이터 침해 데이터베이스에 특정 크리덴셜을 확인해달라는 요청을 보낼 수 있게 해주는 프로토콜에 관한 백서를 발표하기도 했다. 이 프로토콜의 특징은 사용자가 그러한 요청을 보낼 때, 요청의 정확한 내용(즉 어떤 크리덴셜을 확인하고자 했는지)을 감출 수 있다는 것이다.

구글은 지난 2월 패스워드 체크업을 처음 발표하면서도 미국인 인터넷 사용자 3천명을 대상으로 진행했던 설문 결과를 공개하기도 했다. 당시 53%의 응답자가 “비밀번호에 숫자와 특수문자, 기호 등을 사용하는 게 매우 좋다”는 것을 이해하고는 있었지만, “실제로 그렇게 하고 있다”고 답한 사람은 39%였다는 게 드러났다. 비밀번호의 길이가 중요하다고 믿는 사용자는 23%였다.

3줄 요약
1. 비밀번호의 침해 여부 알려주는 크롬용 확장 프로그램, 패스워드 체크업.
2. 최근 새 기능 추가하면서 조사 결과 발표됐는데, 사용자들 대부분 침해 사실 알고도 비밀번호 바꾸지 않는다고 함.
3. 이는 계정 탈취 피해에 스스로를 노출하는 꼴.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

go**** 2019.08.19 17:47

"혹시 머리속에 하나의 패스워드만 외우고 각 사이트 회원 가입시 이 패스워드만 사용하지는 않으신가요?

그러다 하나의 사이트 털리면, 나도 모르게 동일한 패스워드를 사용하는 다른 게임 사이트의 아이템이 털릴수도 있습니다.
그렇다고 매번 적어놓는것도 귀찮고 해서, 패스워드 관리하는 앱을 소개합니다.
퀵 로그인으로 아주 빠르게 5초이내 각 사이트 패스워드를 확인할수 있으며, 자동 랜덤 패스워드도 만들 수 있으며,
내 휴대폰에만 256비트로 암호화 되어 저장되므로 해킹에도 안전합니다.

안써본분은 한번 써보시길 추천드립니다. 플레이스토어에서 passwordx 로 검색하면 됩니다.
링크 https://play.google.com/store/apps/details?id=com.goldcrownsoft.passwordx"


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협