중소기업의 업무 방식은 완전히 바뀌었고, 공격받는 방식도 마찬가지로 달라졌습니다. 팀은 분산되어 일하고, SaaS 도구는 급여 처리부터 프로젝트 관리까지 맡고 있으며, 외부 계약자와 공급업체는 시스템에 정기적으로 드나듭니다. 접근 권한이 있는 새로운 도구나 직원이 하나씩 늘어날 때마다 잠재적인 진입 지점의 수도 증가합니다.
이처럼 확장되는 공격 표면이 중요한 이유는 피싱, 계정 탈취, 비밀번호 도난을 포함한 자격 증명 기반 공격이 기업에서 보안 사고가 발생하는 가장 흔한 경로 중 하나가 되었기 때문입니다. 이런 공격이 통하는 이유는 바로 접근 범위가 지나치게 넓어져 추적이 어려워졌기 때문입니다. 이제 공격자는 귀사의 방어 체계를 우회하기 위해 유효한 자격 증명 한 세트만 찾아내면 됩니다.
이러한 맥락에서 현재 소기업의 절반 이상이 비즈니스용 비밀번호 관리자를 사용하고 있다는 점은 고무적으로 받아들여져야 할 일입니다. 하지만 SMB 의사결정권자 3,000명을 대상으로 한 글로벌 연구인 Proton의 SMB 사이버보안 보고서 2026에 따르면, 여전히 4곳 중 1곳은 지난해 보안 사고를 겪었습니다.a0
이 모든 것은 도구가 도입되는 방식과 실제로 사용되는 방식 사이에 간극이 있음을 보여줍니다.
오늘날 중소기업이 비밀번호 관리자를 사용하는 방식
대부분의 비밀번호 관리자는 한 가지 일을 잘하도록 설계되어 있습니다. 바로 비밀번호를 기억하도록 돕는 일입니다. 실제로는 복잡하고 고유한 비밀번호를 만들고, 이를 암호화된 보관함에서 관리한다는 뜻입니다. 이는 여러 계정과 플랫폼에서 같은 자격 증명을 재사용하는 일반적인 방식보다 훨씬 낫습니다.
하지만 비밀번호가 공격자에게 가장 쉬운 진입 지점인 만큼, 중소기업은 비밀번호 관리자에게 단순히 기억과 편의 문제를 해결하는 것 이상의 역할을 기대해야 합니다. 비밀번호 관리자는 접근을 안전하게 보호할 수 있어야 합니다.
접근은 훨씬 더 폭넓은 문제입니다. 올바른 사람들이 올바른 자격 증명을 갖고 있습니까? 그리고 그것으로 무엇에 접근할 수 있는지, 혹은 그것이 잘못된 사람의 손에 들어갔는지 파악할 수 있습니까? 또한 팀이 커지고, 구독이 쌓이며, 외부 계약자가 수시로 드나들수록 조직의 관점은 단순히 비밀번호를 강화하는 데서 벗어나 현실 세계의 보안 위협까지 고려하는 방향으로 바뀌어야 합니다.
대부분의 기업은 문제가 발생하기 전까지는 그런 변화를 추진하지 않습니다.
비밀번호 관리자 도입이 잘못되는 지점
이번 보고서의 핵심 통찰은 비밀번호 관리자를 도입한 기업도 이를 일관되게 사용하지는 않는다는 점이었습니다.
안전하지 않은 자격 증명 공유는 여전히 놀라울 만큼 높은 수준으로 지속되고 있습니다:
- 33%는 공유 문서나 스프레드시트에서 자격 증명을 공유합니다
- 30%는 이메일을 통해 자격 증명을 공유합니다
- 27%는 메시징 앱을 통해 자격 증명을 공유합니다
- 25%는 자격 증명을 적어 둡니다
- 24%는 자격 증명을 구두로 공유합니다
이는 바쁜 사람들이 그 순간 가장 빠른 경로를 택하는 모습을 보여줍니다. 비밀번호 관리자 앱으로 전환해 적절한 보관함에서 새 자격 증명을 공유하는 대신, Slack이나 이메일에 붙여넣을 수 있습니다.
우회 방식은 개별적으로 보면 무해해 보입니다. 하지만 시간이 지나면 자격 증명은 받은 편지함, 채팅 기록, 공유 문서 곳곳에 흩어져 나중에는 정리하기 어려워집니다. 직원이 퇴사한 뒤에는 나중에 접근 권한을 취소할 수 없습니다. 또한 데이터 보안 사고가 발생했을 때 자격 증명이 중앙의 안전한 위치에 저장되어 있지 않다면, 즉시 비밀번호를 업데이트하는 일도 불가능해집니다.
보안 정책을 시행하기 위한 교육은 도움이 될 수 있지만, 저희 연구에 따르면 그것만으로는 충분하지 않습니다…
보안 인식 교육만으로는 충분하지 않은 이유
이번 보고서에 따르면 중소기업의 39%가 인적 오류로 인한 보안 사고를 경험했습니다. 이 통계는 잘못 읽기 쉽습니다. 자연스러운 반응은 직원이 더 신중하면 사고가 줄어들 것이라고 가정하는 것입니다.
하지만 이런 틀로 보면 중요한 점을 놓치게 됩니다. 일상적인 압박 속에서도 완벽한 행동을 전제로 하는 보안 시스템은 현실 앞에서 언제나 무너지기 마련입니다. 실수는 사람들이 신경 쓰지 않아서가 아니라, 안전한 선택지가 일반적인 중소기업이 감당할 수 있는 것보다 더 많은 노력과 시간을 요구하는 경우가 많기 때문에 발생합니다. 의도가 좋은 팀이라도 자원이 빠듯하면 우회 방법을 찾게 됩니다.
지속적인 해결책은 교육을 더 늘리는 데 있지 않습니다. 안전한 선택이 곧 가장 쉬운 선택이 되도록 시스템을 설계하는 데 있습니다.
접근을 안전하게 공유하는 일이 채팅 메시지에 비밀번호를 적어 보내는 것만큼 쉽다면, 사람들은 그 방식을 사용하게 됩니다.a0
접근 문제가 통제 불능이 될 때
팀이 커질수록 자격 증명 문제는 더욱 복잡해집니다.
현재 중소기업의 86%는 일상적인 운영을 위해 클라우드 기반 서비스를 사용합니다. 이는 보통 자격 증명이 프로젝트 관리 도구, 재무 플랫폼, 마케팅 소프트웨어, 파일 저장공간, 고객 시스템 전반에 퍼져 있음을 의미하며, 각 시스템마다 고유한 권한과 접근 이력이 존재합니다.
접근은 여러 시스템에 흩어질 뿐만 아니라 조직 전반으로 퍼져, 팀, 외부 파트너, 계약업체, 심지어 여전히 들어올 수단을 유지한 전직 직원 사이까지 흘러갑니다.
이는 현실에서 자격 증명이 계속 쌓이고, 오래된 접근 권한이 남아 있으며, 귀하 조직의 가장 민감한 시스템의 열쇠를 지금 갖고 있거나 과거에 가졌던 사람의 수가 쉽게 추적하기 어려울 만큼 늘어난다는 뜻입니다.
도구를 갖추는 것만으로 보호되는 것은 아닙니다
지난해 보안 사고를 겪은 중소기업들이 보안을 소홀히 했던 것은 아닙니다. 92%는 보안 도구에 적극적으로 투자하고 있었습니다. 이들은 비밀번호 관리자, 암호화된 이메일, 교육 프로그램, 문서화된 정책을 갖추고 있었습니다. 다시 말해, 서류상으로는 설정이 탄탄해 보였습니다.
많은 기업에 부족했던 것은 일관된 시행이었습니다. 다단계 인증(MFA)은 켜져 있었지만 필수는 아니었고, 비밀번호 관리자는 도입되었지만 일상적인 습관 속에 자리 잡지는 못했으며, 온보딩과 오프보딩 절차도 체계적으로가 아니라 비공식적으로 처리되었습니다. 브라우저 비밀번호 관리자의 높은 인기를 고려할 때, 상당수는 중앙화된 팀 플랫폼조차 전혀 사용하지 않고 각자 덜 안전한 여러 선택지를 임시로 조합해 사용했을 것으로 보입니다.
이 각각은 문제가 터지기 전까지는 보이지 않는 작은 틈입니다.
보안 설정의 진정한 기준은 목록에 어떤 도구가 있느냐가 아니라, 그 도구들이 사람들이 실제로 일하는 방식에서 생기는 일상적인 압박 속에서도 제대로 버텨 주느냐입니다.
다음은 이러한 현실을 귀사에서 실현하는 데 도움이 되는 몇 가지 실천 방법입니다:
- 팀용으로 설계된 비밀번호 관리자를 사용하세요. 브라우저 비밀번호 관리자는 보안이 더 약할 뿐 아니라, 관리자가 계정을 완전히 통제하는 데 필요한 관리자 도구도 제공하지 않습니다. 사용하기 쉬운 엔터프라이즈 비밀번호 관리자가 없다면 충분하지 않습니다.
- 현재 누가 무엇에 접근할 수 있는지 점검하세요. 가장 민감한 도구의 사용자 목록을 확인하고, 그 목록에 예상치 못한 이름이 있는지 살펴보세요.
- 공유 로그인 대신 개별 계정을 사용하세요. 비밀번호 관리자에서 로그인을 공유하는 것은 쉽지만, 모범 사례는 아닙니다. 공유 로그인은 계정 수준의 가시성을 낮춰 보안 사고를 식별하고 대응하기 더 어렵게 만듭니다.
- 다중 인증을 필수로 하세요. MFA는 가장 효과적인 보호 수단 중 하나이지만, 선택적 설정으로 남겨두지 않고 기본으로 강제할 때만 그렇습니다.
- 오프보딩을 체계화하세요. 직원, 계약자, 공급업체 등 누가 떠나든, 나중에 뒤늦게 처리하지 말고 즉시 접근 권한 검토가 이루어지도록 해야 합니다.
여섯 개 핵심 시장의 비즈니스 리더 3,000명을 대상으로 한 설문조사에서 또 무엇을 알 수 있는지 궁금하신가요? SMB 사이버보안 보고서 2026에서 더 자세히 확인해 보세요. 보안 사고의 원인과 실제 비용, 인적 오류가 가장 자주 나타나는 지점, 클라우드와 AI 도입이 어떻게 새로운 사각지대를 만들고 있는지 알게 되실 것입니다. 또한 실제 환경에서도 효과적인 보호 강화를 위한 실용적인 단계도 포함되어 있습니다.
