장기간 활동하지 않은 계정이 해킹의 표적이 되는 이유는 무엇일까?
인터넷 서비스는 가입은 쉽지만 탈퇴는 잊기 쉬워 한 번 만들어 둔 계정은 사용하지 않아도 그대로 남아 있는 경우가 많다.
쇼핑몰, 커뮤니티, 클라우드, 업무 협업 도구까지 생각보다 많은 계정이 방치된 채 존재 하는 부분이 많으며, 문제는 이런 ‘휴면 계정’이 해킹의 주요 표적이 된다는 점이다.
Google, Microsoft, Meta Platforms 같은 대형 플랫폼은 보안 투자를 지속적으로 강화하고 있지만, 계정 보안의 마지막 책임은 사용자에게 있다.
특히 장기간 로그인하지 않은 계정은 관리 사각지대에 놓이기 쉽다.
비밀번호 재사용의 위험
많은 사용자가 여러 사이트에서 동일하거나 유사한 비밀번호를 사용 하고 있으며, 문제는 과거에 가입했던 서비스 중 하나라도 정보 유출 사고를 겪으면, 그 계정 정보가 외부에 떠돌 수 있다는 점이다.
공격자는 유출된 이메일과 비밀번호 조합을 다른 사이트에 반복 입력하는 방식으로 침투를 시도하고 이를 ‘크리덴셜 스터핑’이라고 한다.
사용자가 오랫동안 로그인하지 않은 계정은 이상 접속을 알아채기 어렵기 때문에 공격자에게 매력적인 대상이 된다.
활동이 없다는 것은 경고를 보지 못한다는 의미
활발히 사용하는 계정은 로그인 알림이나 비정상 접속 알림을 즉시 확인할 수 있으나 몇 달, 몇 년 동안 접속하지 않은 계정은 다르다.
-
비밀번호 변경 알림을 보지 못함
-
해외 로그인 경고를 확인하지 못함
-
복구 이메일 변경 사실을 인지하지 못함
공격자는 이런 ‘무반응 계정’을 선호한다. 침투 후 오랜 시간 탐지되지 않을 가능성이 높기 때문이다.
2단계 인증 미적용 문제
오래전에 만든 계정은 2단계 인증이 설정되어 있지 않은 경우가 만고 최근에는 대부분의 서비스가 추가 인증을 권장하지만, 사용하지 않는 계정까지 일일이 설정해 두는 사람은 드물다.
결과적으로 보안 수준이 낮은 상태로 장기간 유지 되고 있으며 특히 이메일 계정은 다른 서비스의 비밀번호 재설정 통로로 사용되기 때문에, 하나가 뚫리면 연쇄 피해로 이어질 수 있다.
기업 환경에서의 더 큰 위험
개인 계정뿐 아니라 기업 환경에서도 휴면 계정은 심각한 보안 리스크가 되고 있고 퇴사자 계정, 프로젝트 종료 후 남은 협업 계정, 외주 인력 계정 등이 대표적이 되고있다.
이런 계정이 활성 상태로 남아 있다면 다음과 같은 문제가 발생할 수 있다.
-
내부 문서 접근
-
고객 데이터 열람
-
외부 공유 링크 생성
-
관리자 권한 악용
특히 접근 권한이 광범위한 계정일수록 위험은 커진다.
다크웹과 계정 거래 문제
유출된 계정 정보는 비공식 거래 시장에서 판매되기도 하며, 공격자는 오래된 계정을 구매해 스팸 발송, 피싱, 사기 활동에 활용한다. 사용자는 계정이 악용되고 있다는 사실조차 모를 수 있다.
특히 오래된 계정은 가입 시 본인 인증 절차가 느슨했던 경우가 많아, 복구도 쉽지 않다.
휴면 계정 관리 방법
장기간 사용하지 않는 계정을 방치하지 않으려면 체계적인 관리가 필요하다.
1. 계정 목록 정리
자신이 가입한 주요 서비스 목록을 정리 해야 하는데, 이메일 검색을 통해 가입 확인 메일을 찾아보는 것도 방법이다.
2. 사용하지 않는 계정은 삭제
앞으로 사용할 계획이 없다면 탈퇴하는 것이 가장 안전하며, 단순 비활성화가 아니라 완전 삭제 여부를 확인하는 것이 좋다.
3. 공통 비밀번호 점검
과거에 사용한 비밀번호가 현재도 사용 중인지 확인하고, 중복 사용을 중단한다.
4. 2단계 인증 설정
삭제하지 않고 유지할 계정은 반드시 2단계 인증을 설정한다.
5. 기업 환경에서는 정기 감사
기업은 분기별로 계정 사용 현황을 점검하고, 일정 기간 미사용 계정은 자동 비활성화하는 정책을 마련해야 한다.
사용하지 않는 계정도 자산이다
계정은 단순한 로그인 수단이 아니며 개인정보, 결제 정보, 연락처, 업무 자료가 연결된 디지털 자산이다.
사용하지 않는다고 해서 위험이 사라지는 것은 아니며, 오히려 관리가 되지 않는다는 점에서 더 취약하다.
보안 사고는 대개 복잡한 해킹 기술이 아니라, 방치된 틈에서 시작되고 오래된 계정 하나가 전체 보안 체계를 흔들 수 있다.
정기적으로 계정을 점검하고, 필요 없는 것은 정리하는 습관이 중요하며, 로그인하지 않는 계정이 가장 안전한 계정은 아니다.
통제되지 않는 계정이 가장 위험한 계정임을 알아야 할 것이다.