이원영 기자
사이버 보안 기업인 홈시큐리티히어로스(Home Security Heroes)는 신경망에서 암호 예측을 수행하는 AI인 패스GAN(PassGAN)을 이용해 실제 암호를 분석한 실험 결과를 발표했다. 이에 따르면 일반 암호 절반이 1분, 65%가 1시간이면 해석할 수 있었다고 한다.
보통 비밀번호를 분석하는데 사용되는 비밀번호 추측은 간단한 데이터 구동 도구를 이용한다. 다시 말해 방대한 데이터를 바탕으로 암호 분석을 실시하는 것으로 이런 방법은 소규모로 예측 가능한 암호의 경우 효율적으로 해석이 가능하지만 샘플 크기가 크고 패턴이 복잡해지면 시간이 걸린다.
이번에 이용한 패스GAN은 적대적 생성 네트워크 GAN 일종으로 2개 대립 신경망(Generative Network, Discrimnate Network)으로 이뤄져 있다. 패스GAN은 제너레이티브 네트워크가 가짜 암호 샘플을 생성하고 이 가짜 암호 샘플과 진짜 암호 샘플을 혼합한 걸 디스크크림네이트 네트워크가 판별하는 시스템으로 학습을 거듭할 때마다 암호 예측 정밀도가 올라간다. 이를 통해 패스GAN은 기존 비밀번호 분석 도구보다 광범위하고 빠른 분석이 가능하다.
테스트에선 소셜 게임 사이트 록유(RockYou)에서 유출된 데이터세트에서 1,568만 건 암호를 인용해 18문자 이상 혹은 4문자 미만 암호를 뺀 뒤 패스GAN에 해석시켰다고 한다. 그 결과 암호 51%가 불과 1분 이내에 해석할 수 있었다. 또 1시간 이내 전체 65%, 1일 이내라면 71%, 1개월 이내라면 81%를 해석할 수 있었다고 한다. 또 숫자나 알파벳 뿐 아니라 기호가 포함된 경우에도 7문자 암호는 6분 정도에 해석할 수 있었다고 한다.
18자가 넘는 암호는 패스GAN에 대해 안전하다고 말할 수 있다고 한다. 18문자 이상이면 숫자만으로 이뤄진 비밀번호아도 해석에는 적어도 10개월이 걸리고 기호, 숫자, 알파벳 소문자와 대문자로 이뤄진 비밀번호 해독에는 600경년이 걸린다고 한다.
회사 측은 비밀번호는 최소 15자 이상 대문자, 소문자, 숫자, 기호를 조합해 만드는 게 좋다며 패스GAN에 의한 해독을 막으려면 중요한 암호는 몇 개월마다 바꾸는 운용도 유효하다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
