미국 근로자 상당수가 전 직장의 계정 비밀번호를 계속 사용하고 있는 것으로 나타났다. 비밀번호 보안 및 인터넷 안전 전문 사이트 패스워드매니저(PasswordManager)가 발표한 설문조사에 따르면, 미국 내 성인 근로자 1200명 중 40%가 이전 직장에서 사용하던 로그인 정보를 이용한 경험이 있다고 답했다.

이 중 15%는 현재도 이를 적극적으로 사용하고 있는 것으로 나타났다. 주요 이유로는 도구나 서비스 비용 절감이 꼽혔으며, 응답자의 53%는 비용 회피를 위해 로그인한다고 답했다. 일부는 이를 통해 월 300달러 이상을 절약한다고 보고했다.

비밀번호 변경 부재와 다양한 접근 경로

설문 결과, 60%의 응답자는 이전 직장 계정의 비밀번호가 변경되지 않아 로그인할 수 있었다고 밝혔다. 28%는 회사에 남아 있는 동료를 통해 접근했고, 20%는 비밀번호를 추측해 로그인했다고 했다. 현재 직장에서도 비밀번호 보안 문제가 존재했다. 전체 응답자의 27%가 현재 고용주의 비밀번호를 외부인과 공유한다고 답했으며, 이 중 절반은 상대방이 자신의 업무를 돕기 위해서, 3분의 1은 타인의 비용 절감을 위해서라고 응답했다.

조사에 따르면, 전직 직원 중 10%는 4년 이상 이전 계정 로그인 정보를 사용해 왔다고 밝혔다. 대부분은 적발된 적이 없다고 답했으며, 17%는 전 직장에서 비밀번호를 잊은 현직 직원이나 관리자에게 연락을 받아 도움을 준 적이 있었다. 이는 일부 기업이 퇴직자 계정 관리와 보안 절차를 제대로 이행하지 않고 있음을 보여준다.

사이버 보안 전문가 군나르 칼스트롬(Gunnar Carlstrom)은 “자격 증명 공유를 억제하기 위해 기업은 직원들에게 허용 가능한 사용 정책(AUP)에 서명하도록 하고, 정기적인 보안 인식 교육을 실시해야 한다”며 “역할 기반 접근 제어, 다중 인증(MFA), 엄격한 퇴사 절차 도입이 필수”라고 강조했다.

이러한 관리 부재는 정보 유출, 지적 재산권 침해, 고객 신뢰도 하락 등 산업 전반에 부정적 영향을 미칠 수 있으며, 랜섬웨어나 내부자 위협 가능성도 높인다.

기업 보안 절차 체크리스트

퇴사자 계정 관리와 비밀번호 변경 지연은 기업 보안의 치명적인 약점이 된다. 아래 절차를 이행하면 내부자 위협과 정보 유출을 효과적으로 줄일 수 있다.

① 비밀번호 변경 의무화: 퇴사자 계정은 즉시 비활성화하고, 모든 관련 비밀번호를 변경한다.

② 다중 인증(MFA) 적용: 중요 시스템 접근 시 반드시 2단계 인증을 요구한다.

③ 역할 기반 접근 제어(RBAC): 직무에 필요한 권한만 부여하고, 필요 종료 시 즉시 회수한다.

④ 허용 가능한 사용 정책(AUP) 서명: 모든 직원이 보안 정책을 이해하고 준수하도록 서명 절차를 마련한다.

⑤ 정기적 보안 인식 교육: 자격 증명 공유, 피싱 대응 등 최신 보안 위협 교육을 실시한다.

⑥ 퇴사 절차 표준화: 퇴사 시 계정 비활성화, 장비 회수, 권한 철회 절차를 자동화한다.

⑦ 비밀번호 관리 도구 활용: 안전한 비밀번호 생성·저장을 위해 기업용 비밀번호 관리 솔루션을 도입한다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.