리서치 회사인 에버딘 그룹이 퀘스트 소프트웨어의 의뢰로 진행한 “강력한 사용자 인증” 보고서에 따르면, 52%의 기업이 직원에게 주요 데이터에 접근할 수 있는 권한을 줄 때, 하드웨어 토큰, 디지털 증명서, 위험기반 점수(risk-based scoring) 등 보안시스템을 사용하지 않고 , 비밀번호만 부여하고 있는 것으로 드러났다.
전 세계 150개 기업을 대상으로 진행한 이번 조사결과와 관련해 에버딘 그룹의 IT 보안 관련 부사장인 데렉 브링크(Derek Brink)는 “비밀번호만 사용하는 경우가 많다는 것은 놀랍지 않다”라면서도, “그러나 비밀번호에 대한 훌륭한 정책을 갖고 있는 경우가 드물기 때문에, 이런 보안 체계는 위험하다”라고 평가했다.
조사결과에 따르면, 응답 기업 중 64%가 비밀번호 변경을 고려하지 않고 있고 , 45%는 ‘password’처럼 사전에 등록돼 있는 표준단어를 사용하고 있는 것으로 나타났다. 또한, 29%는 비밀번호 길이가 정해져 있지 않아 많은 기업의 비밀번호 관련 정책이 취약한 것으로 드러났다.
심지어 괜찮은 비밀번호 정책을 도입하고자 하는 기업도 비밀번호 관리가 제대로 되지 않고 있는 것으로 나타났다. 응답 기업 중 88%가 평균 5~6개의 업무 관련 비밀번호를 사용하고 있는데, 기억해야 할 비밀번호가 너무 많아 직원이 비밀번호 관리에 어려움을 겪고 있는 것.
브링크는 “보통 직원들은 이렇게 많은 비밀번호를 어딘가에 적어서 관리하거나, 모든 시스템에 똑 같은 비밀번호를 지정하고 있어, 비밀번호가 유출될 가능성이 높다”고 지적했다.
한편, 퀘스트 소프트웨어의 수석 제품관리자인 잭슨 쇼(Jackson Shaw)는 “최근 권한이 없는 사람이 데이터에 접근하는 등의 보안사고가 하루에 하나씩 생기고 있다”라며, “보안 시스템을 도입하고 , 비밀번호 외에 추가적인 사용자 인증 프로세스가 필요하다”라고 밝혔다.
이와 관련해 에버딘 그룹은 하드웨어 토큰, 디지털 인증서, 사용자 측정 등 2중 사용자 인증 프로세스를 사용하라고 권고했다.