온보딩 비밀번호 실수가 불필요한 위험을 만든다
출처: The Hacker News
직원 온보딩은 IT 팀에게 바쁜 시기입니다. 새로운 직원들은 기기, 계정, 액세스 권한, 비밀번호 등을 모두 짧은 시간 내에 제공받아야 합니다.
일반적으로는 직원들이 처음 시스템에 접속할 수 있도록 임시 “첫날” 비밀번호를 공유하는 것이 일반적입니다. 문제는 이러한 비밀번호가 항상 임시로 유지되지 않으며, 이메일이나 SMS로 전송되거나 계정 간 재사용되며 전혀 변경되지 않아 온보딩 과정에서 불필요한 위험을 초래한다는 점입니다.
공격자에게 있어 약하거나 관리 부실한 온보딩 비밀번호는 기업 시스템에 쉽게 침투할 수 있는 경로가 될 수 있습니다. 신입 직원들의 접근 속도를 늦추지 않으면서 온보딩 과정을 보다 안전하게 만들기 위해서는 일반적인 비밀번호 공유 방법이 왜 위험을 초래하는지를 이해하는 것이 중요합니다.
편의가 보안을 우선시할 때
새 직원에게 초기 자격 증명을 공유하는 가장 일반적인 방법은 이메일이나 SMS로 평문으로 전송하는 것입니다. 특히 바쁜 온보딩 기간에는 빠르고 편리하지만, 이러한 메시지가 가로채이거나 전달되거나 보안되지 않은 기기에서 열릴 경우 공격자가 즉시 기업 계정과 시스템에 접근할 수 있는 노출점이 생깁니다.
대안은 대면 또는 전화로 비밀번호를 구두로 공유하는 것입니다. 이는 디지털 가로채기 위험(digital interception risk)을 줄이지만, 자체적인 운영상의 어려움을 초래합니다. IT 팀과 신입 직원은 일정을 조정해야 하며, 관리자나 제3자가 대신 자격 증명을 전달하도록 요청받을 때 과정이 자주 중단됩니다. 비밀번호를 다루는 사람이 많아질수록 잘못 처리되거나 유출될 가능성이 커집니다.
이 두 가지 방법 모두 온보딩 비밀번호를 관리하는 데 특히 안전하거나 확장성이 뛰어나지 않습니다. 많은 경우 조직은 접근의 용이함과 보안을 균형에 맞추고 있으며, 임시 비밀번호는 단기 온보딩 단계가 아니라 장기적인 약점이 되는 경우가 많습니다.
온보딩 비밀번호에 보다 안전한 접근 방식
전통적인 온보딩 방법은 초기 자체 임시 비밀번호를 공유해야 하는 강제로 인해 위험을 초래합니다. 이 문제를 해결하는 전문 솔루션으로는 Specops First Day Password가 있으며, 이는 Specops uReset의 일부로 제공되며, 첫날 비밀번호 배포 altogether(전혀) 필요 없애줍니다.
Specops First Day Password
대신 이메일, SMS 또는 전화로 임시 자격 증명을 받는 대신, 신입 직원은 안전한 등록 과정을 통해 자체 비밀번호를 설정합니다. 사용자는 개인 이메일 주소나 모바일 번호로 인증 후, 도메인 가입 기기의 “비밀번호 재설정” 옵션을 통해 enrollment 링크를 받게 되며, 조직의 정책 요구 사항에 맞는 비밀번호를 처음부터 만들 수 있습니다.
이 방식은 온보딩 자격 증명이 가로채이거나 잘못 처리되는 위험을 줄이며, IT 팀과 신입 직원 모두에게 과정을 간소화합니다.
임시 비밀번호가 영구적으로 남는 위험
대부분의 온보딩 자격 증명은 처음 로그인 후 새 비밀번호를 만들라는 목적으로 임시로 설계되어 있습니다. 그러나 바쁜 사용자는 이 단계를 놓치고 비밀번호 변경을 지연시킬 수 있습니다. 온보딩 워크플로우도 리셋을 강제하지 않거나, 임시 자격 증명이 누군가의 눈치에도 계속 활성화될 수 있습니다.
이것은 첫날 비밀번호가 장기적인 보안을 염두에 두어 설계되지 않기 때문에 문제가 됩니다. 이들은 단순하고 예측 가능하며, 온보딩을 빠르게 하기 위해 대량으로 생성됩니다. 이러한 자격 증명이 계속 활성화되어 있으면 공격자가 기업 시스템에 저-effort(저노력) 방식으로 침투하기에 적합한 표적이 됩니다.
최근 사례들은 기본 또는 임시 자격 증명이 변경되지 않은 채 위험할 수 있음을 보여줍니다. 특히 인터넷에 노출된 시스템이나 민감한 사용자 데이터와 연결되어 있을 때 더욱 그렇습니다.
취약한 자격 증명으로 핵심 인프라 이용
2023년 11월, 미국 펜실베니아주 알리콥파 시립 물 관리국이 이란계 해킹 집단 사이버 아벤저스(Cyber Av3ngers)에 타깃으로 맞춰졌습니다. 해커들은 기본 자격 증명 “1111”로 보호된 프로그래밍 가능한 로직 컨트롤러(PLC)를 악용하여 두 마을을 서비스하는 원격 증폭소의 제어를 얻었습니다. 물 공급에 위험은 없었지만, CISA는 이 사례를 통해 유사한 시스템의 기본 자격 증명을 업데이트하고 PLC를 개방된 인터넷에서 분리하라는 경고를 보냈습니다.
관리자 계정이 보호가 부족한 채 채용 플랫폼에 침투
2025년, 연구원들은가 McDonald’s AI 기반 채용 플랫폼인 McHire가 사용자명과 비밀번호가 각각 “123456”인 레거시 관리자 계정을 통해 침해될 수 있음을 발견했습니다. 이 플랫폼은 Paradox.ai에 의해 운영되며, 채용 및 온보딩 과정에서 대량의 지원자 정보를 처리합니다.
기본 자격 증명을 사용해 연구원들은 McHire 플랫폼 내 테스트 “레스토랑” 환경에 접근할 수 있었습니다. 이를 통해 6400만 개 이상의 구인 신청과 연결된 채팅 기록을 확인할 수 있었습니다. Paradox.ai는 이 문제를 책임감 있게 공개한 뒤 빠르게 대응해 취약점을 해결하고 보안 정책을 업데이트했습니다.
하지만,