2024-03-28 20:55 (목)
美 내무부 직원 비밀번호의 16%가 90분 안에 해독...패스워드 1234 가장 많아
상태바
美 내무부 직원 비밀번호의 16%가 90분 안에 해독...패스워드 1234 가장 많아
  • 길민권 기자
  • 승인 2023.01.30 14:52
이 기사를 공유합니다

한국 공공 및 기업 직원들도 해킹되기 쉬운 패스워드 사용 주의...시스템으로 관리해야

미국 내무부 감찰관이 기관에서 사용하는 암호관리 시스템 및 보안정책을 감사해 보고서를 발표했다. 보고서는 불과 90분만에 1만4천명의 직원 계정이 크랙되었고 Password-1234가 가장 많이 사용하는 비밀번호로 분석되었다고 밝혔다.

한국의 공공, 기업 직원들도 단순하고 허술한 패스워드를 사용하는 경우가 많아 사이버공격의 빌미를 제공하고 있어 각별히 주의해야 한다.  

한편 미국 내무부는 보안시스템을 테스트하기 위해 Active Directory의 85,944개 직원계정 암호 해시가 감찰관에게 제공했고, 감찰측은 여러 언어의 사전, 미국 정부 용어, 문화적 언어, 과거 유출된 공개 암호 및 QWERTY와 같은 키보드 단축키 등 15억 단어 데이터베이스를 활용해 암호 해독을 시도했다.

테스트의 처음 90분동안 부서 사용자 계정의 16%(14,000)에 해당하는 해시가 크랙되었으며, 8주에 걸쳐 추가로 4,200여개의 암호가 해독되었다. 총 8만5천944개의 암호 검증에 18,174(21%)가 크랙 되었고, 영향을 받은 계정 중 288개는 권한이 상승했으며 362개는 고위공직자의 계정이었다.

직원들이 가장 많이 사용하는 암호는 다음과 같다.

Password-1234 (478 계정)

Br0nc0$2012 (389 계정)

Password123$ (318 계정)

Password1234 (274 계정)

Summ3rSun2020! (191 계정)

0rlando_0000 (160 계정)

Password1234! (150 계정)

ChangeIt123 (140 계정)

1234password$ (138 계정)

ChangeItN0w! (130 계정).

감찰조직이 암호 크랙 시스템을 구축하는데는 15,000달러가 소요된 것으로 알려졌다.

흥미로운 점은 크랙된 암호의 99.9%가 공식적인 보안요구사항을 충족했다는 점이다. 암호길이는 최소 12자이고, 필수 문자 유형 4개(소문자/대문자/숫자/특수문자)중 3개를 포함했다.

이러한 보안 허점은 한국 공공기관에서도 자주 발생하고 있어 각별한 주의가 필요하다. 

보고서는 암호 규칙에 대한 요구사항 강화, 만료날짜 지정, 다단계 인증을 구현하도록 권고했다. [정보제공. 씨엔시큐리티 SIPS]

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★