전체메뉴

[애플경제 이윤순 기자] 당신의 비밀번호는 해독하기 어려울 만큼 안전한가요? 이런 물음에 자신있게 대답하려면 자신의 비번의 구성과 안전성을 점검해볼 필요가 있다. 실제로 보안업계에 따르면 영문 대·소문자, 그리고 숫자, 기호를 조합하거나, 때론 암호문구를 사용한 경우 등에 따라 해커들이 비번을 해독하는데 큰 영향을 주는 것으로 나타났다.

글로벌 보안업체 하이브는 “비밀번호를 해독하는 데 걸리는 시간은 비번이나 암호의 복잡성에 따라 크게 차이가 난다”며 실례를 들어 설명하고 있다. 이에 따르면 숫자, 기호, 대문자와 소문자가 모두 포함된 복잡한 8자리 비밀번호를 해커들이 해독하는 데 평균 7년이 걸린다. 단, 해커들이 최고급 엔비디아의 12 x RTX 4090 그래픽 카드를 사용할 경우 그렇다는 얘기다.

대문자, 소문자, 숫자, 기호 8자리 비번, ‘7년 걸려’

이에 반해 대문자와 소문자만 있는 5자리 비밀번호는 2분 안에 해독할 수 있다. 또한 소문자만 있는 4자리 비밀번호는 즉시 해킹될 수 있다. 반면에 대문자와 소문자가 모두 있는 5자리 비밀번호는 3초 만에 해킹될 수 있다는게 하이브의 설명이다.

이는 가능한 한 문자, 기호, 숫자를 혼합한 비밀번호의 중요성을 강조하는 대목이다. “비밀번호의 복잡성에 따라 해독될 수 있는 시간이 완전히 달라진다”는 것이다.

특히 간단한 비번이라도 ‘문자’ 수가 더 많을 경우 짧은 시간에 해독될 가능성이 오히려 적다. 예를 들어 숫자로 구성된 10자리 비밀번호는 해독하는 데 1시간이 걸린다. 이처럼 숫자만 있는 비밀번호를 다시 숫자 18개로 늘리면 해독 시간이 무려 11,000년이 걸린다. 인류역사에 맞먹는 기간으로 사실상 해독 불능이다.

숫자 아닌 암호문구를 혼합했을 때는 그보다 더 오랜 시간이 걸린다. 앞서 숫자 비번과 같은 18개를 영문 소문자로 채울 경우, 무려 3,500억 년이 걸린다. 지구 나이 40억년을 생각하면 이는 상상하기조차 힘든 시간이다. 이는 무작위적인 단어로 구성된 긴 문자열을 사용하는 암호문구가 가장 풀기 힘들다는 사실을 보여주는 것이다.

특히 “대문자와 소문자, 숫자, 기호가 혼합된 18자리 암호문구는 (해커들의) 무차별 대입 공격으로도 풀기 어렵다”고 한다.

해커들, 최첨단 GPU로 비번 해독

그렇다면 해커들은 이런 난해한 비밀번호를 해독할 수도 있을까. 복잡하지만 짧은 비밀번호는 가능할 수도 있다. 이를 위해 최신의 가장 발달한 그래픽 처리 기술이 필요하다. 그래픽 처리 장치가 강력할수록 암호화폐 채굴이나, 비밀번호 해독과 같은 작업을 더 빨리 수행할 수 있다. 이런 최첨단 GPU를 사용하면 해커는 무차별 대입 공격과, 비밀번호 해독 소프트웨어를 통해 비번과 기타 자격 증명을 ‘추측’할 수 있다. 무차별 대입 공격은 GPU와 기계 구동의 시행착오를 악용, 올바른 문자, 숫자, 기호 조합을 알아내고, 결국 사용자의 비밀번호를 해독하기 위한 것이다.

수 일 전 엔비디아 RTX 5080, 5090이 출시되기 전까지 시중의 최첨단 GPU는 역시 엔비디아의 GeForce RTX 4090이다. 그러나 짧고 복잡도가 낮은 비밀번호의 경우 이보다 성능이 낮은 GPU를 사용해도 비교적 짧은 시간에 해독할 수 있는 것으로 알려졌다.

그러나 요즘은 이같이 값비싼 최첨단 GPU를 직접 구매하지 않고, 클라우드로 전환해 이를 어렵잖게 구할 수 있다. 클라우드를 통해 사이버 범죄자들은 강력한 GPU의 여러 가상 인스턴스를 활용, 저렴한 비용으로 비밀번호를 해독할 수 있게 된다.

게다가 AI기술이 발달하면서 해커들은 이를 악용해 비밀번호를 더 빠르고 효율적으로 해독할 수도 있다. 실제로 사이버 보안 회사인 홈 시큐리티 히어로즈(Home Security Heroes)는 수백만 개의 암호를 해독하도록 AI를 훈련시켰다. 그 결과 이들 암호를 해독하는데 1분도 채 걸리지 않았다. 그러나 일부 암호에 대해선 AI도 헷갈려했는데, 이 경우는 패스키 등으로 보안을 강화한 경우다.

이 회사가 1560만개의 일반 비밀번호를 분석한 보고서에 따르면 해커들은 AI를 사용해 1개월 이내에 81%, 1일 이내에 71%, 1시간 이내에 65%, 1분 이내에 51%를 해독한 것으로 나타났다.

‘GatePen2BoxerRose’와 같은 암호문구 바람직

이처럼 그래픽 기술(GPU)과 AI 기술의 발전으로 인해 웬만한 비밀번호는 갈수록 손쉽게 해독이 된다. 예를 들어, 문자, 숫자, 기호가 포함된 7자리 비밀번호는 2020년엔 7분만에 해독했지만, 2023년에는 불과 4초만에 풀었다. 그렇다면 이런 상황에서 어떻게 하면 계정과 데이터를 잘 보호할 수 있을까.

전문가들은 우선 비밀번호 대신 패스프레이즈(암호문구)를 권하고 있다. 패스프레이즈는 대체로 무작위 단어로 구성된 긴 문자열이다. 패스프레이즈는 비밀번호보다 보안성이 높고, 기억하기는 쉽다. 예를 들어 ‘Sunset-cola-Mouse!’ 또는 ‘GatePen2BoxerRose’ 등이 그런 경우다.

앞서 보안회사 ‘하이브’는 특히 “패스프레이즈 경로를 선택하는 경우 기억해야 할 몇 가지 사항이 있다”고 했다. 즉 ▲최소 10~15자 이상인지 확인하고, ▲일반적인 문구나 가사는 피하며, ▲자신이 기억하기 쉬운 패스프레이즈를 택하는게 좋다. 또한 ▲구문에 숫자와 기호를 추가하는 것도 방법이다.

또한 숫자, 기호, 대문자, 소문자를 동시에 사용하는게 좋다. “복잡성이 비밀번호 강도에 상당한 영향을 미친다”는 얘기다. 여기서 ‘복잡성’이란 비밀번호에 문자(대문자와 소문자), 기호, 숫자가 포함되어 있는 것을 말한다. 또한 한 가지 문자 유형보다는 모든 문자를 혼합하면 훨씬 보안이 중요해진다.

이처럼 복잡하고 긴 비밀번호를 여러 개 만들고 기억하는 것은 불가능하므로 ‘비밀번호 관리자’를 활용하는 것도 바람직한 방법이다. ‘비밀번호 관리자’를 사용하면, 웹사이트와 온라인 계정에 강력한 비밀번호를 생성, 저장, 적용할 수 있다.

1Password, Bitwarden, Keeper 등 ‘비번관리자’ 활용 필요

현재 보안업계에서 추천하는 ‘비밀번호 관리자’는 1Password, Bitwarden(비트워든), Keeper 등이 있다.

‘1Password’는 세련된 사용자 인터페이스가 있는 비밀번호 관리자로 인식되고 있다. 초보자와 고급 사용자 모두가 비밀번호를 정리하기 쉽게 해주는, 직관적이고 잘 설계된 데스크톱 애플리케이션을 제공한다. 이는 또 ‘Watchtower’ 데이터 침해 스캐너, 안전한 비밀번호 공유 및 기록 기능 등 다양한 추가 보안 기능이 포함되어 있다. 또한 제3자 회사에서 독립적으로 감사를 실시하며, ‘무로그’ 정책에 따라 사용자 정보를 기록하지 않도록 했다.

‘Bitwarden’은 특히 개인 정보 보호 기능이 강하다. 이는 또 소스 코드를 공개적으로 검토할 수 있는 오픈소스 비밀번호 관리자다. 즉, 사용자가 ‘Bitwarden’의 코드를 살펴보고 취약점을 직접 발견할 수 있다. 그래서 “비밀번호를 처리하는 서비스에 필수적인 ‘투명성’ 계층을 제공한다”는 평가다. 또한 이는 무료 사용자가 무제한의 기기를 통해 무제한의 비밀번호를 저장할 수 있다는 것도 장점이다.

‘Keeper’는 비즈니스 중심의 비밀번호 관리자라고 할 수 있다. 비즈니스 플랜을 사용하면 관리 콘솔, 팀 관리 기능, 정책 엔진 및 시행 기능을 통해 팀의 자격 증명을 관리할 수 있다. 엔터프라이즈 플랜에는 AD 및 LDAP 동기화, SAML 2.0 인증과 같은 팀 관련 기능이 많이 있다. 이를 통해 여러 팀과 계정 로그인 자격 증명을 안전하게 관리할 수 있다.