어도비 해킹 최다 비밀번호, 2차 피해를 양성한다

 어도비 해킹 사건이 마치 양파마냥 까도 까도 새로운 속살을 드러내고 있습니다. 처음 290만 명 해킹으로 파악되었던 것이 3,800만 계정이 해킹된 것으로 파악되었고, 이어 1억 5,000만 건의 레코드가 포함된 것이 보안업체인 라스트패스(LastPass)에 의해 발견되었습니다.

---

어도비 해킹 최다 비밀번호, 2차 피해를 양성한다

 어도비 측에서는 자사 데이터베이스에서 도난 당한 레코드가 맞지만, 폐기할 예정이었고, 사용하지 않는 것이라고 밝혔습니다. 그러나 이 해킹 사건으로 정치인 등의 유명인의 계정도 유출되었으며, 유출 사용자 중 일부가 사용한 비밀번호가 지적되었습니다.

---

비밀번호

 스크릭처 그룹(Stricture Group)의 CEO인 제레미 고스니(Jeremi Gosney)에 공개된 자료를 보면 어도비 사용자들이 가장 많이 사용된 비밀번호 20개를 알 수 있습니다. 이 비밀번호들은 고스니가 어도비의 암호화의 결함을 두고 알아낸 것이 아니라 여러 과정을 거쳐 걸러진 것입니다. 과정이야 어쨌든 이 비밀번호들은 상당히 재미있습니다.

 1위를 차지한 것은 1,911,938명이 사용하는 '123456'입니다. 2위는 446,162명이 사용하는 '123456789', 3위가 345,834명의 'password'였습니다. 그 밖에 'adobe123', '12345678', 'qwerty', '1234567' 등으로 나타났으며, '000000'이나 'abc123', '1234'를 사용하는 사용자도 많은 것으로 파악되었습니다. 이는 어도비 계정의 3%에 해당하는 것이지만, 이번 어도비 해킹 사건으로 3,800만 명의 계정이 해킹당했다는 사실을 볼 때 해당 비밀번호 사용자가 포함되어 있을 가능성을 배제할 수 없습니다.

 비밀번호가 암호화되어 있다고는 하지만, 가장 많이 사용하는 상위 20개의 비밀번호를 이용하는 것만으로 계정 접속을 시도하는 것은 어려운 일이 아닙니다. 무엇보다 이런 비밀번호 사용은 2차 피해를 양성하기 좋습니다.

---

2차 피해

 상위 20개 비밀번호 사용자는 보안에 대한 큰 위험을 생각하지 않는 사용자일 가능성이 높습니다. 그리고 이들이 어도비 계정을 확실하게 관리할 가능성은 오히려 떨어집니다. 만약 어도비 제품을 업무에 주로 사용했고, 클라우드 서비스를 이용하는 상태라면 허술한 비밀번호를 사용하는 일은 찾기 어려우니 말입니다. 문제는 어도비 계정 가입에 이메일을 사용한다는 것인데, 이 이메일은 대부분 서비스를 가입하는 데 공통으로 사용합니다.

 어도비 해킹으로 사용자의 계정, 그러니까 이메일을 이미 노출된 상태이며, 해당 사용자가 여타 서비스의 비밀번호를 완전히 같거나 비슷하게 설정했을 때 어도비 해킹에서 뻗어 2차 피해로 이어지게 되는 것입니다. 똑같은 이메일 계정을 입력하고 '123456'을 입력하기만 하면 되니까요.

 애초 상위 20개 비밀번호 사용자들의 보안 인식이 떨어진다는 점을 볼 때 이 탓으로 발생할 수 있는 2차 피해는 상당하며, 한 사용자가 가입한 여러 서비스를 1개 이상이라고 했을 때 피해는 더 커질 것입니다. 그렇지 않아도 각 서비스마다 비밀번호를 다르게 사용하는 사용자가 많지도 않은데, 거기다 비밀번호까지 간단하게 해뒀으니 비밀번호가 아무리 암호화가 되었든 크게 상관이 없습니다.

 이런 부분은 어도비 해킹 사건뿐만 아니라 대부분의 해킹 사건으로 노출된 계정에서 발생하는 2차 피해 양상으로 가장 쉽게 빠르게 피해를 확산할 수 있다는 점에서 1차적으로 접근하는 방법입니다. 그래서 실제 서비스를 가입할 때 '어려운 비밀번호를 사용하라'는 경고가 이런 부분을 방지하기 위함인데, 그럼에도 불구하고 여전히 '123456'이라는 비밀번호를 많이 사용하고 있다는 사실은 놀랍기만 합니다.

 사용자 스스로 해킹 사건의 피해자를 자처하는 것과 다르지 않으며, 만약 가입해둔 서비스가 많다면 그만큼 피해가 가중된다는 사실도 인지하는 것이 가장 올바른 것이지만, 그렇지 못했을 때 돌아오는 것은 전체 웹 이용을 마비시키는 것입니다.

---

보안

 이런 문제는 복수의 웹 서비스 사용이 늘고, 클라우드 서비스의 가입이 늘면서 더욱 심각해질 것입니다. 복수의 클라우드 서비스를 모두 같은 이메일 계정으로 가입하거나 비밀번호를 사용한다면 들어있는 자료는 누군가의 손에 들어가버릴지 모르니까요. 물론 어도비 해킹 건의 가장 큰 문제는 어도비였고, 어도비의 어눌한 초기 대응이 점점 더 상황을 악화시켰습니다. 그리고 다른 웹 서비스들도 마찬가지입니다.

 하지만 그렇게 넘어간 정보에 대해서 책임을 질 수 있는 것은 결국 사용자 본인이며, 서비스 회사에 대해 피해를 추궁할 수는 있겠지만, 피해가 원래대로 복구되는 것은 아닙니다. 오히려 깊지 못한 보안 인식이 2차 피해를 발생할 수 있다는 사실을 인지하고 있어야 하며, 만약 2차 피해로 사용 중이던 또다른 웹 서비스가 해킹을 당한다면 그 문제를 추궁할 수 있는 곳은 어디에도 없습니다.

 특히 페이스북 로그인과 같은 간편 서비스가 늘면서 단번에 해킹 피해가 연결되는 일이 벌어지기도 하는데, 사용자는 서비스의 중요도에 따라 계정과 비밀번호를 분산할 필요가 있으며, 모바일의 발전으로 사용하는 서비스가 늘어남에 따라 좀 더 신중한 비밀번호 선택과 사용 중인 서비스의 보안 뉴스에 항시 귀기울이는 습관을 기르는 것이 꼭 필요합니다.