기업 10곳 가운데 8곳이 패스워드 정책을 운영하지 않는 것으로 나타났다. 또 업무 시 이용하는 패스워드 20%가 회사 이름을 포함하는 것으로 드러났다.
아크로니스 조사 결과 기업 80%가 패스워드 정책을 운영하지 않았으며 업무 환경에서 이용되는 패스워드 15~20%는 회사 이름을 포함하고 있었다. 패스워드 정책을 운영하는 조직 상당수도 기본 패스워드에 의존했으며 이 가운데 50%가량은 취약한 암호를 썼다.
공격자는 이를 악용하는 한편 재택근무 중인 임직원을 타깃으로 삼고 있다. 보안업체 테시안에 따르면 직원 48%가 재택근무 시 데이터 안전 규정을 따르지 않는 것으로 조사됐다. 아크로니스는 지난해 무차별 공격 횟수가 급증했으며 피싱에 이어 패스워드를 탈취하는 '스터핑' 공격이 두 번째로 많았다고 지적했다.
아크로니스는 사이버 보안 불감증으로 인해 올해 데이터 유출에 따른 재정적 영향이 급증할 것으로 전망했다.
비용 손실, 기업 이미지 훼손, 침해사고 과태료를 피하기 위해서는 기업 데이터 접근에 대한 인증 요건을 강화해야 한다. 구체적으로 △회사 네트워크 접근 시 둘 이상 인증 절차를 거치는 다중인증(MFA)을 도입할 것 △제로 트러스트 모델을 채택할 것 △이용자와 개체 행동 분석(UEBA)을 통해 보안 체계를 자동화할 것 등이 권고된다.
서호익 아크로니스 코리아 지사장은 “팬데믹 이후 원격근무가 급증하는 과정에서 많은 기업이 사이버 보안과 데이터 보호 요구사항을 충족하지 못했다”면서 “원격근무자를 위한 보호책이 필요하다”고 조언했다.
오다인기자 ohdain@etnews.com