IT 관리자가 가장 많이 사용하는 비번은 ‘admin’, 2위는 ‘123456’

사이버 공격으로부터 회사, 정부기관 등 자신이 속한 조직을 지켜야 하는 IT 관리자 대다수가 일반 사용자와 비슷한 수준으로 비밀번호를 관리하고 있다는 조사 결과가 나왔다.

이 조사는 스웨덴의 사이버 보안 기업 Outpost24가 진행한 것으로, 법인용 보안 서비스를 제공하는 ‘Threat Compsss’를 통해 2023년 1월부터 9월까지 수집한 관리자용 비밀번호 180만 건을 분석한 결과 도출된 결론이다. Threat Compass에는 정보를 훔치는 멀웨어를 통해 유출된 비밀번호를 발견하는 기능이 있는데, 이번 조사는 이렇게 유출된 비밀번호를 대상으로 분석했다.

이 조사에 따르면 IT 관리자들이 가장 많이 사용한 비밀번호는 ‘admin’으로 180만 건 중 4만 건을 넘었다. 뒤이어 2위는 ‘123456’, 3위는 ‘12345678’, 4위는 ‘1234’, 5위는 ‘Password’, 6위는 ‘123’, 7위는 ‘12345’, 8위는 ‘admin123’, 9위는 ‘123456789’, 10위는 ‘adminsp’으로 나타났다. 20위까지로 범위를 확대해도 ‘123123(13위)’, ‘admin@123(17위)’, ‘111111(18위)’ 등 특정 숫자 조합/배열이나 ‘admin’과 숫자 조합이 대부분이었다.

상위를 차지한 비밀번호는 대부분 초기 비밀번호를 그대로 사용하고 있어 결과는 더욱 충격적이다. 초기 비밀번호는 기기, 시스템, 솔루션, 애플리케이션 등을 처음 이용할 때 사용자가 최적으로 설정할 수 있도록 제조사가 미리 설정해둔 비밀번호인데, 제품 설명서나 인터넷 홈페이지 등에서 쉽게 확인할 수 있어서 공격자들이 부정침입 수단으로 가장 손쉽게 이용할 수 있다.

Outpost24는 “이런 비밀번호가 관리자용 비밀번호로 많이 사용된다는 사실은 그만큼 기업 보안에 취약성이 많다는 것을 의미한다.”라며, “관리자를 포함한 일반 이용자들도 계정마다 고유의 길고 강력한 비밀번호를 만들 필요가 있다.”라고 권고했다.

이 조사와 관련해 미국의 사이버 보안 기업 ‘Malwarebytes’는 비밀번호를 무력화할 목적으로 공격자들이 가장 먼저 사용하는 비밀번호 10개를 소개했다.

1위는 ‘123456’, 2위는 ‘Password’, 3위는 ‘12345678’, 4위는 ‘Qwerty’, 5위는 ‘12345’, 6위는 ‘123456789’, 7위는 ‘Letmein’, 8위는 ‘1234567’, 9위는 ‘Football’, 10위는 ‘iloveyou’로 Outpost24가 조사한 결과와 겹치는 부분이 많다.

Malwarebytes는 “조직의 중요한 자산을 지키기 위해서는 비밀번호만으로는 부족하고 다요소인증(MFA)을 통해 보안을 강화해야 한다.”라며, “초기 비밀번호를 그대로 사용한다는 건 첫 번째 보안 관문인 비밀번호를 스스로 공격자에게 제공하는 꼴”이라고 위험성을 지적했다.