지난 10년간 암호 보안 수준이 거의 개선되지 않았다는 분석이 나왔다. 사용자 대다수는 여전히 예측하기 쉬운 암호를 사용하고 있었다.
9일(현지시간) 정보기술(IT) 전문매체 테크레이더에 따르면 사이버 보안 연구원 제레미아 파울러는 2015년과 2024년에 유출된 대규모 암호 샘플을 비교해 이 같은 결론을 내렸다.
분석 결과 대소문자, 숫자, 기호를 조합한 12자 이상의 무작위적인 '진정으로 복잡한 암호'는 전체의 15%에 불과했다. 나머지 85%는 이름, 기억하기 쉬운 문구, 'password'나 'qwerty' 같은 흔한 구조에 숫자나 특수문자를 덧붙인 형태였다.
다만 일부 긍정적인 변화도 있었다. 'qwertyuiop'처럼 키보드 자판 배열을 그대로 입력하는 방식이나 'admin', 'password' 같은 키워드를 포함한 암호는 2015년 대비 15~20% 감소했다. 암호 생성기로 만든 것으로 추정되는 암호의 비율은 10~12%가량 증가했다.
하지만 가장 치명적인 약점은 '암호 재사용' 습관인 것으로 나타났다. 파울러는 2024년 연구를 인용해 일반적인 사용자가 평균 168개 온라인 계정을 보유하고 있으며 이 모든 계정에 각기 다른 강력한 암호를 기억하는 것은 사실상 불가능하다고 설명했다. 이로 인해 강력한 암호를 여러 계정에 중복해서 사용하는 문제가 발생한다.
파울러 연구원은 "우리는 보안보다 편의를 택하며 스스로 위험을 감수하는 게으른 접근 방식을 취하는 경우가 많다"고 지적했다. 그는 "암호를 여러 계정에서 재사용하면 데이터 유출 시 모든 계정이 위험에 처하므로 암호 복잡성 강화 정책만으로는 완벽한 해결책이 될 수 없다"고 강조했다. 이어 "사이버 범죄가 고도화되고 인공지능(AI)이 악용되는 만큼 자격 증명 보호에 더 힘써야 한다"고 덧붙였다.
전문가들은 이 같은 문제를 해결하기 위해 각기 다른 복잡한 암호를 생성하고 안전하게 저장해주는 '암호 관리자' 사용을 권장한다. 또한 별도 기기나 생체 정보를 통해 2차 인증을 요구하는 '인증 앱'을 함께 사용하면 계정 보안을 한층 강화할 수 있다.