사용자 비밀번호 51%, AI가 1분안에 뚫었다 [아이티라떼]

이제는 AI가 우리의 비밀번호도 빠르게 맞추는 시대가 왔습니다.

미국의 사이버보안 스타트업인 ‘홈시큐리티히어로즈’가 사용자들의 계정과 비밀번호 보안의 중요성을 보여주기 위한 연구로 ‘PassGAN’이라는 AI 비밀번호 생성기를 선보인 것인데요. 1500만개 이상의 비밀번호를 대상으로 PassGAN을 돌린 결과, 비밀번호의 51%가 1분 안에 뚫린다는 충격적인 결과가 나왔습니다.

만약 기간을 1분에서 하루로 늘리면 71%를 풀 수 있다고 하는데요.

이들이 활용한 ‘GAN(Generative Adversarial Network)’은 생성적 대립 신경망이라는 하나의 머신러닝 방식입니다. 생성자가 지속적으로 가짜 표본을 만들어내면, 판별자가 그 가짜 표본과 실제 표본을 변별해가면서 개선하는 방식으로 학습합니다. 생성자는 판별자가 구분하지 못하도록 정교한 ‘진짜같은 가짜’를 만들어내고, 판별자는 정확히 구분해내고자 노력하면서 서로 경쟁하는 방식으로 고도화가 이루어지는 개념이죠.

장병탁 서울대학교 컴퓨터공학부 교수는 “GAN은 게임이론 기반의 모델로, 암호를 풀 때도 충분히 적용될 수 있는 개념이다. 학습하면서 기존 데이터나 패턴을 추가 정보로 활용해가면서 암호를 푸는 모델”이라고 설명했습니다.

기존에는 ‘브루트 포스(brute force)’와 같이 무작위로 문자열을 대입해보며 비밀번호를 뚫는 공격 방식이었다면, PassGAN은 AI가 보다 효율적으로 비밀번호를 맞추는 것입니다. 머신러닝을 통해 실제 비밀번호와 가까운 데이터를 생성해내는 방식이기에, 비밀번호를 푸는 시간을 크게 줄여 효율성을 높인 것으로 보입니다.

그러면 일반 사용자는 어떻게 해야 할까요. 해당 연구를 진행한 스타트업은 이러한 결과를 보여주면서 정석적인 대안 방법을 제시합니다. 대문자와 소문자, 특수기호를 혼합해 사용하고, 더 많은 글자 수의 비밀번호를 만들라는 것이죠. 그리고 그 비밀번호를 주기적으로 교체할 것을 조언합니다.

연구에 따르면 대소문자를 조합해 만든 18글자의 비밀번호는 AI가 푸는 데 7230억년이 걸립니다. 여기에 숫자와 특수기호까지 조합하면? 무려 6000조년이 걸린다고 하네요.

다만 PassGAN과 같은 비밀번호 추론을 통한 해킹 방식이 실제로 큰 파급력을 가지진 않을 것이라는 시각도 있습니다. 신승민 큐비트시큐리티 대표는 “PassGAN의 경우 효율성이 많이 좋아진 모델이지만, 암호화 알고리즘을 적게 사용하는 제한된 환경에서만 효과가 있을 것”이라며 “산업현장 등 보안을 강화해 사용하는 영역에서는 전혀 동작하지 않을 것”이라고 설명했습니다.

신승민 대표는 다만 이러한 보안 위협에 발맞춰 암호화 알고리즘 또한 현대화하는 것이 중요하다고 강조했습니다. 그는 “GAN과 같은 AI 공격 방식보다도, 이러한 공격을 허용하는 기존 암호화 알고리즘을 계속 사용하는 것이 문제”라고 설명했습니다. 뛰어난 신예 공격수는 꾸준히 등장하는데, 전성기 지난 노익장 수비수를 세워둔 격이죠.

올해 초 독일의 애드블록 개발자인 블라디미르 팔란트가 한국의 은행 보안 프로그램을 지적한 것과도 같은 맥락입니다. 10년이 넘은 라이브러리를 사용하는 것처럼 수십 년이 지난 프로그램과 방식을 고집하고 있다는 것이죠. 레거시에 갇혀있지 말고 현대적인 알고리즘 도입에 적극적으로 나서야 한다는 주문입니다.