지난해 인터넷에서 가장 많이 쓰인 비밀번호는 전과 다름없이 ’123456’이었다. 인터넷서비스들이 단순하거나 쉬운 비밀번호 입력을 차단하기도 하지만, 수많은 사용자가 기억하기 쉽고 단순한 비밀번호를 변함없이 쓰고 있다.
13일(현지시간) 미국 지디넷에 따르면, 키퍼시큐리티는 지난해 가장 많이 쓰인 비밀번호 순위를 발표했다.
1위는 ‘123456’이었고, 2위는 ‘123456789’, 3위는 ‘qwerty’였다. 4위는 ‘12345678’. 5위는 ‘111111’였다.
2016년 인터넷에서 가장 많이 쓰인 비밀번호 순위(자료:키퍼시큐리티)
많은 사용자들은 단순하고, 기억하기 쉬운 일련의 숫자, 혹은 문자를 비밀번호로 쓰고 있다. 이같은 비밀번호는 해커의 무작위대입 공격(brute-force hacking)에 계정정보를 노출한 것과 같다.
인터넷 서비스 회사나 보안에이전시가 2채널 인증을 도입하거나, 쉽고 단순한 암호를 아예 쓰지 못하도록 막고 있다. 키퍼시큐리티의 발표는 인터넷서비스나 보안회사의 강력한 권고에도 쉬운 비밀번호를 변경하지 않고 유지한 사용자가 훨씬 더 많다는 의미다. 이 회사는 서비스 운영회사나 IT관리자의 보안 업무 실패라 지적했다.
키퍼시큐리티는 작년 데이터 유출로 외부에 공개된 도메인의 비밀번호 약1천만개를 제거했다.
키퍼시큐리티는 전체 사용자의 17%가 ‘123456’를 계정 공격의 보호를 위해 사용하고 있다고 설명했다. ’123456789’, ‘qwerty’, ‘password’ 등의 응용도 상위 25개에 다수 포함됐다. 많이 쓰인 암호 상위 10개 가운데 4개가 6글자 미만이었다.
눈에 띄는 건 15위를 차지한 ’18atcskd2w’다. 보안연구자인 그레이험 클루리에 따르면, 이 암호는 온라인 스팸을 살포하는 봇에 의해 만들어진 계정에서 쓰인 것이다.
데런 구치오네 키퍼시큐리티 최고경영자(CEO)는 "강력한 비밀번호를 사용하지 않는 사용자의 버릇을 비판할 수 있다"그러나 기본적으로 복잡한 암호를 쓰도록 한 정책에 실패한 웹사이트 운영자의 거짓말에 더 큰 책임이 있다"고 지적했다.
그는 "사용자들이 위험을 인지하는 게 중요한 데 비해, 상당수는 스스로를 보호하는데 시간이나 노력을 결코 들이지 않을 것"이라며 "IT 관리자와 웹사이트 운영자는 이런 사람들을 위해 일해야 한다"고 덧붙였다.
김우용 기자 (yong2@zdnet.co.kr)