디지털 업무 환경과 원격 접속 증가로 기업의 ID·비밀번호가 공격자의 최우선 표적이 되고 있다. 인포스틸러 악성코드와 피싱을 통한 대량 자격 증명 탈취가 확산되며, 사이버 범죄 생태계는 더 구조화되고 있으며 다크웹 거래 시장 역시 활성화되고 있다. 자격 증명이 침해될 경우 공격자는 별도의 취약점 익스플로잇 없이도 기업 시스템에 로그인할 수 있어 랜섬웨어 배포, 권한 상승, 내부망 이동까지 일련의 공격을 단숨에 실행할 수 있다.

이 때문에 글로벌 보안 업계는 ID 자체를 새로운 보안 경계로 규정하고 있으며, 다중 인증(MFA), 패스키 기반 인증, 조건부 접근 정책, 위협 노출 모니터링 등의 기술이 기본 방어선으로 자리 잡고 있다.

글로벌 사이버 보안 서비스 제공업체 소쿠라(Socura, CEO 앤디 케이즈)가 FTSE 100에 속한 상장기업의 임직원 계정 정보를 분석한 'FTSE 100 포 세일(FTSE 100 for Sale)'보고서를 발표했다.

보고서에 따르면, 총 46만 건 이상의 인증 정보가 다크웹 및 사이버 범죄 커뮤니티에 유출된 것으로 드러났다. FTSE 100은 영국 런던 증권거래소 상위 100대 시가총액 기업으로, 이번 보고서는 이들 기업 역시 일반 기업과 마찬가지로 비밀번호 재사용, 인포스틸러(Infostealer) 악성코드 감염, 다중 인증 미도입 등 기본 보안 수칙의 부재로 심각한 위협에 노출되어 있음을 시사한다.

이번 보고서는 사이버 보안 기업 플레어(Flare)의 위협 노출 관리 플랫폼을 활용해 FTSE 100 기업들의 공식 도메인을 추적하고, 관련 인증 정보가 다크웹 및 사이버 범죄 포럼에 등록되었는지를 분석했다. 단, 유출 수치는 총 ‘인스턴스’ 기준이며, 반드시 고유 사용자 수를 의미하는 것은 아니다.

보고서는 기업 규모나 자산, 브랜드 인지도와 무관하게 기초 보안 수칙 미준수와 인증 정보 관리 부실이 기업을 심각한 위험으로 몰아넣을 수 있음을 지적했다. 특히 단순하고 반복적인 비밀번호 사용, 다중 인증 미도입, 인포스틸러에 대한 대응 부재 등은 사이버 공격의 기초적인 진입점을 제공하는 셈이다.

영국을 대표하는 상장기업들조차 보안 허점이 명확히 드러난 만큼, 모든 조직은 '자신의 인증 정보가 이미 유출됐다는 전제 하에 보안 정책을 수립’해야 한다. 다중 인증, 세션 무효화, 비밀번호 순환 관리, 다크웹 유출 감시, 인포스틸러 탐지 등은 더 이상 권장 사항이 아닌 보안의 기준선(Baseline)이 되어야 한다고 보고서는 전했다.

인증 정보 46만 건 노출…기업별 최대 4만 5천 건 확인

보고서에 따르면 ▲15개 FTSE 100 기업은 각각 1만 건 이상의 인증 정보 유출 ▲한 기업 대상 4만 5천 건 이상의 인증 정보가 유출 ▲인포스틸러 악성코드에 의해 유출된 기업용 인증 정보는 2만 8천 건 ▲전체 FTSE 100 기업 중 59%는 'password'라는 비밀번호를 사용하는 계정 최소 1개 이상 존재 등이 확인됐다.지어 한 기업 CEO를 대상으로 한 살해 협박 정황까지 다크웹 상에서 포착등이 확인됐다.

이러한 유출 정보는 대부분 다크웹 포럼 등에서 판매되고 있으며, 공격자는 이를 활용해 기업 시스템에 침투한 뒤 랜섬웨어 공격 등을 감행할 수 있다. 특히 인포스틸러 악성코드는 감염 시 사용자의 로그인 정보, 세션 쿠키, 브라우저 저장 데이터 등을 대량 수집해 외부로 유출시키는 특성을 지닌다.

소쿠라의 앤 하임(Anne Heim) 위협 인텔리전스 리더는 “사이버 범죄자는 복잡한 해킹보다 이미 유출되어 판매 중인 인증 정보를 선호한다.”라며 “다중 인증(MFA)을 기본으로 설정하고, 패스키(Passkey) 등 비밀번호 없는 인증 수단을 도입해야 한다.”라고 전했다.

소쿠라의 앤디 케이즈(Andy Kays) CEO는 “FTSE 100은 영국을 대표하는 신뢰도 높은 브랜드들이지만, 현실적으로는 기본적인 사이버 보안 문제조차 제대로 해결하지 못하고 있다.”고 지적하며 “직원들이 업무용과 개인용 계정에 동일한 비밀번호를 사용하고 있으며, 이로 인해 대규모 유출과 2차 공격 위험이 높아지고 있다”고 경고했다.

기업이 즉시 적용해야 할 보안 대응...패스키·MFA·조건부 접근·BYOD 통제가 핵심

소쿠라와 플레어는 자격 증명 노출 위험을 줄이기 위한 실질적 보안 조치를 제시했다. 첫째, NCSC 모범 사례에 기반한 강력한 비밀번호 정책을 시행하고 비밀번호 관리자 사용을 교육해야 한다. 둘째, 모든 서비스와 기기에 대해 MFA를 기본값으로 설정하고, 중간자 공격에 취약한 인증 방식 대신 패스키 같은 피싱 저항성 MFA를 적용해야 한다.

셋째, 인증 강도·장치 상태·사용자 위험 수준 등을 반영한 조건부 접근 정책을 적용해 고위험 인증을 자동 차단해야 한다. 넷째, 정기적으로 유출된 자격 증명을 확인해 즉시 재설정하고 공격 표면을 지속 모니터링해야 한다.

다섯째, BYOD 환경에서는 업무용 서비스 접근 시 MFA 적용을 의무화해야 한다. 마지막으로 악성 코드 기반 정보 탈취 및 의심 로그인 행위를 실시간 탐지할 수 있도록 강력한 감지·경고 체계를 구축해야 한다.

또한 새로운 데이터 유출에 대한 지속적인 모니터링, 악성코드 탐지, 의심스러운 로그인 대응도 기본 보안 수칙으로 제시했다.

이번 ‘FTSE 100 for sale’ 보고서는 자격 증명이 단순한 로그인 정보가 아니라 기업 전체의 사이버 안전을 좌우하는 핵심 자산임을 명확히 보여준다. FTSE 100 수준의 대기업조차 비밀번호 관리 미흡과 인포스틸러 확산으로 인해 광범위한 신원 정보 침해를 겪고 있으며, 고위 경영진을 겨냥한 위협까지 현실화되고 있다.

생성AI와 자동화된 공격 도구로 침해 속도가 더욱 빨라진 현재, 기업은 네트워크·장비 중심 방어를 넘어 신원 자체를 보호하는 전략으로 전환해야 한다. 패스키 기반 MFA, 조건부 접근, 위협 노출 모니터링, 자격 증명 실시간 검증 같은 체계적 보호 전략이야말로 향후 모든 기업이 반드시 갖추어야 할 필수 보안 체계임을 이번 보고서는 강조하고 있다.