엔비디아 GTX 1080 Ti 8개로 패스워드 뚫기

해쉬함수의 역방향 매칭을 찾는 툴 가운데 Hashcat[1]이 가장 유명한 것 같다. 패스워드 크랙 관련 글 중에서 이 툴이 언급되지 않는 게시물이 거의 없는 듯 하다. ㅋ

일반인들이 구할 수 있는 엔비디아 제품군 가운데 가장 강력한 그래픽카드가 GTX 1080 ti인 걸로 알고 있는데, 다나와 최저가 검색을 해보니 판매자에 따라 다르지만 대략 80만~100만원 정도의 가격인 것 같다. 해커뉴스[2]를 보니 어떤 사람이 이걸 8개 동시에 달아서 Hashcat을 이용하여 해쉬함수의 역방향 매칭을 찾는 시험을 해 본 모양[3]이다. 헐-_-

비디오 카드 8개를 꼽을 수 있는 메인보드가 뭘까 궁금했는데, 글[3]에 나온 바로는 Supermicro 4028GR TR Red라고 씌여 있다. 검색해 보니 Super Micro Computer 사의 제품인데, 주로 서버용 제품을 만드는 회사인 듯. 스펙[4]에 PCI-E 3.0 16배 슬롯이 8개라고 나와 있다. 가격이 대략 천만 원 안쪽인 것 같다.

벤치마크 글[3]을 보니 md5 기준으로 초당 2572억번 해쉬할 수 있다고 한다. 흥미로운 부분은 해커뉴스[2]의 어느 사람의 댓글에 자기가 2010년 12월에 md5를 331억번 해쉬할 수 있는 시스템을 구성한 적 있다[5]고 하는데, 이 능력은 현재 GTX 1080 ti 한 개의 파워와 비슷하다. 대략 6.5년이 지나는 동안 해쉬량이 대략 2572/331 = 7.77배 증가했으므로, 근사적으로 2년에 2배 정도 증가한 셈이 된다. 병렬 컴퓨팅 파워는 아직도 무어의 법칙이 적용되는 것 같다. ㅎ

예전에 해커뉴스[6]에서 구글 n-gram[7]의 빈도분석과 패스워드 사전을 활용하여 hashcat으로 12자 이상의 패스워드를 뚫는 시범[8]을 본 적이 있는데, 이런 콤보전략과 병렬 파워를 동원하면 어지간한 길이의 패스워드는 거의 뚫릴 것 같다. 역방향 매칭을 피하기 위한 password salt는 거의 필수가 아닐까 싶다.

얼마전에 인터넷 호스팅업체 나야나가 랜섬웨어 제작범과 협상중이라는 기사[9]를 봤는데, 13억에 최종협상한 것[10]같다. 패스워드 크래킹 글[3]을 쓴 사람과 비슷한 시스템을 구성하는데 아마 2천만원 안쪽의 비용이 들 것 같은데, 나야나 사건[11]만 봐도 데이터 가치가 수 억이 넘는 경우는 허다할 듯 하다. 데이터의 가치가 수 천만 원 이상의 자료를 보호하는 데는 매우매우 강력한 패스워드와 더불어 추가적인 보호장치가 필요하지 않을까 싶다.

 


[1] https://hashcat.net/hashcat/
[2] Password Cracking with 8x Nvidia GTX 1080 Ti GPUs (hacker news)
[3] Password Cracking with 8x NVIDIA GTX 1080 Ti GPUs (servethehome.com)
[4] SuperServer 4028GR-T (supermicro.com)
[5] Whitepixel v2 now brute forcing 33.1 billion password/sec (hacker news)
[6] Cracking the 12+ Character Password Barrier, Literally (hacker news)
[7] 내 백과사전 거대한 코퍼스로 놀기 2010년 12월 22일
[8] Cracking 12 Character & Above Passwords (netmux.com)
[9] 지디넷 인터넷나야나 “랜섬웨어 해커와 협상 중” 2017.06.12.19:40
[10] 뉴스1 [단독]랜섬웨어에 당한 나야나, 해커와 13억원에 최종 합의 2017-06-14 17:07
[11] 인터넷나야나 랜섬웨어 감염 사태 (나무위키)

2 thoughts on “엔비디아 GTX 1080 Ti 8개로 패스워드 뚫기

댓글이 닫혀있습니다.