안전한 패스워드는 없는가?

이코노미스트지에 패스워드를 연구한 결과가 소개[1,2]되어 있는데, 내용이 꽤 흥미로와서 소개한다.

이 세상에 100% 완벽한 보안은 없다. 심지어 갓 꺼진 컴퓨터 조차 수분간 DRAM에 정보가 남아 있기 때문에 콜드부트 공격을 당할 수 있다. 모니터 등에 흐르는 전류에서 나오는 전자기파를 감지[3]한다든지, 키보드의 키를 누르는 소리를 도청[4]하여 패스워드를 알아낼 수 있다. 여하간 보안과 편의의 절충만이 있을 뿐, 완벽한 보안은 없다.

개중 쉽게 보안성을 가질 수 있는 도구가 바로 패스워드인데, 하드웨어 없이 소프트웨어만으로 구성할 수 있으므로 편리하다. 패스워드는 과연 어떻게 만드는 것이 더 안전할까? 당연히 더 길고 복잡하고 유추하기 어려운 것이 바람직하다. 해커에 의해 3200만개의 패스워드가 유출된 소셜게임 사이트 RockYou의 패스워드를 분석한 결과 1.1%에 해당하는 365,000명의 사람들이 12345 또는 123456을 패스워드로 쓰고 있었다고 한다. 이 정도면 해킹도 식은죽 먹기다. ㅎㅎ

야후의 협력을 얻어서 케임브리지 대학의 Joseph Bonneau라는 친구가 7천만개의 익명화된 패스워드를 분석했는데, 의외로 나이든 사람이 젊은 사람보다 복잡한 패스워드를 쓰는 경향이 있다고 한다. 예를 들어 인도네시아어를 쓰는 사람인데, 한국어나 독일어 단어로 패스워드를 쓰는 식이다. (정말 이런 사람이 있을까-_-) 좋은 패스워드는 기억하기 쉬우면서도 추측하기 어려운 것이다.

그렇지만 너무나 많은 사람이 사전에 등록된 단어를 기반으로 한 추측하기 쉬운 패스워드를 쓰고 있는 실정이다. 해커의 입장에서 사용자의 1%의 패스워드만 맞춰도 상당히 가치있는 성과가 된다고 한다. 일단 사전에 등재된 단어를 쓰는 것은 무조건 보안성이 낮다고 한다. 심지어 i 를 1로, e 를 3으로 바꾸는 식의 일부의 단어를 치환하는 트릭을 써도 보안성이 낮기는 마찬가지이다. 일전에 xkcd에서 패스워드에 관한 재미있는 그림[5]이 올라왔는데, 이코노미스트지[2]에도 링크가 되어 있다. 내용인 즉슨, 패스워드의 길이 제한을 없애면 기억하기 쉬우면서도 보안성을 높일 수 있다는 것이다. 그러나 케임브리지의 연구에 의하면, xkcd에서처럼 패스워드를 설정한다고 하더라도, 사람들은 여러 개의 단어를 선택하는 것조차 기억을 쉽게 하기 위해 연관된 단어구의 연속들 (예를 들어 dead poets society 와 같은 것들)을 선택하는 경향이 있다고 한다. 이것은 보안성을 크게 낮추는 요소가 된다. 실제로 아마존에서 이러한 패스구문(passphrase 여러 개의 단어 조합이니까!)을 시도했는데, 물론 패스워드 보다는 보안성이 높았지만 생각만큼은 아니었다고 한다. Joseph Bonneau는 인터넷에서 각종 스포츠 문구, 회사 이름, 슬랭 등을 수집해서 때려맞추기를 한 결과 아마존 계정의 1.13%가 뚫리는 것을 확인했다고 한다. 사람들은 랜덤하게 고르는 단어보다는 진짜 언어로 된 조합을 선호하는 경향이 있는데, 두 단어로 된 구문의 경우 형용사-명사 조합의 패스구문을 쓰는 사람이 13%인 반면, 부사-동사 조합을 쓰는 사람은 5% 밖에 되지 않았다고 한다.

근본적인 해결책은 -물론이지만- 없다. 이코노미스트지에서 권장하는 패스워드는 일단 구글 검색에서 아무것도 안 나오는 조합이면서도 기억이 가능하도록 뭔가의 두문자 조합을 만드는 것이다. 이코노미스트지에서의 예시로는 Too much food and wine will make you sick을 줄여서 2mf&wwmUs 라는 패스워드를 만들면 된다. 이제 이 결합도 구글 검색에 걸릴테니 다른 걸 써야할 것이다 ㅋㅋㅋ 이런 방법이 완벽한 것은 아닐지라도 최소한 더 보안성을 높이는 길은 될 것이다.

 


2017.1.16
해커뉴스[6]에서 일전에 이야기한 구글 n-gram[7]으로 긴 패스워드의 해쉬값을 뚫는 글[8]을 봤는데, 대단하군. hashcat[9]이라는 툴은 처음 봤다. 근데 대부분의 메이져 사이트에서는 salt 처리를 할테니 통하지는 않을 것이라 생각함.

 


[1] 이코노미스트 Speak, friend, and enter Mar 24th 2012
[2] 이코노미스트 A security patch for your brain Mar 24th 2012
[3] http://zariski.egloos.com/2102055
[4] http://zariski.egloos.com/2572802
[5] Password Strength in xkcd
[6] https://news.ycombinator.com/item?id=13400630
[7] 내 백과사전 거대한 코퍼스로 놀기 2010년 12월 22일
[8] Cracking 12 Character & Above Passwords in netmux
[9] https://hashcat.net/hashcat/

Advertisements

2 thoughts on “안전한 패스워드는 없는가?

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중