닫기

글로벌이코노믹

[글로벌-Biz 24] 8문자 윈도 암호, 2시간 반 만에 뚫렸다

공유
1

[글로벌-Biz 24] 8문자 윈도 암호, 2시간 반 만에 뚫렸다

대문자 소문자 숫자 기호 등 복잡한 문자열 섞은 암호, 보안성과 상관없어

8자 분량의 윈도 암호를 뚫는 데 2시간 30분 밖에 걸리지 않았다. 자료=글로벌이코노믹이미지 확대보기
8자 분량의 윈도 암호를 뚫는 데 2시간 30분 밖에 걸리지 않았다. 자료=글로벌이코노믹
[글로벌이코노믹 김길수 기자] '윈도 암호 돌파 소요시간'에서 새로운 기록이 경신됐다. 불과 2시간 반이라는 짧은 시간에 8문자 분량의 암호가 뚫렸다.

보안 연구 해커 '팅커(Tinker)'는 최근 자신의 트위터를 통해 NVIDIA의 최신형 GPU인 'GeForce RTX 2080 Ti'와 최고의 오픈소스 패스워드 크래킹 도구인 '해시캣(hashcat)'을 결합하여 8문자 분량의 윈도 암호를 불과 2시간 30분에 돌파할 수 있었다고 밝혔다.
지난 2011년 보안 연구자인 스티븐 마이어(Steven Myer)는 "8문자의 암호는 무력 공격을 사용할 경우 44일이면 풀린다"고 경고했다. 이어 4년 후인 2015년 소프트웨어 개발자 제프 앳우드(Jeff Atwood)는 "평균적인 암호 길이는 8문자"라며 "많은 사람들이 암호 길이를 바꾸는 노력을 하고 있지 않다"고 경고했다.

최근 '컬렉션(Collection)'이라는 이름으로 최대 수억 건에 이르는 이메일 주소와 비밀번호가 웹상에 유출되는 사건과 함께, 이달에는 16개의 웹사이트 및 앱으로부터 도난당한 6억 명이 넘는 사용자의 계정 정보가 다크웹의 한 마켓에서 판매되고 있었던 사실이 드러나 이용자에게 충격을 안겨줬다.

그런데 해커 팅커는 해시캣의 버전 6.0.0 베타판과 GeForce RTX 2080 Ti를 사용하여 해시화된 암호를 해독하는 스피드를 체크했다. 그 결과, 팅커는 "현재의 암호 크래킹 벤치마크에서 8문자의 암호는 마무리 복잡해도 2시간 반 안에 돌파할 수 있다"고 밝혔다. 이어 그는 "8문자의 암호는 거의 무의미하다"고 경고했다.

이번에 팅커가 행한 무력 공격은 'NTLM' 인증을 사용하고 있는 '윈도즈(Windows)' 및 '액티브 디렉터리Active Directory)'를 이용하는 조직에 적용된다. 그런데 NTLM 인증은 이전에 사용하던 낡은 윈도 인증 프로토콜로, 지금은 '커베로스(Kerberos)'라는 새로운 인증 방식이 도입된 상태다. 그러나 팅커는 윈도즈 암호를 로컬 및 액티브 디렉터리의 도메인 컨트롤러 데이터베이스에 저장할 때 "지금도 NTLM 인증은 계속 사용하고 있다"는 것이 문제라고 지적했다.

그동안 미국국립표준기술연구소(NIST)는 패스워드 길이에 대해 "최소한 8문자 이상이 바람직하다"고 사용자에게 경고해 왔다. 그러나 실제 구글이나 마이크로소프트 등은 암호 설정 시에 최소 8문자 이상을 요구하는 반면, 페이스북과 링크드인, 트위터 등은 암호에 6문자 이상의 길이밖에 요구하지 않은 것으로 나타났다.

이러한 현상에 대해 팅커는 "암호를 만들 때 대문자와 소문자, 숫자, 기호 등을 섞은 복잡한 문자열을 설정하도록 요구되지만, 이는 오히려 사람들이 자신의 암호를 기억하기 어렵게 하고 있다"며, "사용자가 복잡한 암호를 최대한 기억할 수 있도록, 허용된 8문자의 최소 요구사항을 선택했을 뿐"이라고 이유에 대해 밝혔다. 동시에 암호에 대문자와 소문자, 숫자 등을 혼합하면 보상성이 높다는 설 또한 '사실무근'이라고 덧붙이며, 복잡한 문자열보다는 긴 문자의 암호를 권장했다.
결국 암호 설정에서 가장 좋은 방법은 "랜덤으로 5개의 단어를 조합하면 된다"고 팅커는 덧붙였다. 예를 들면, 'Lm7xR0w'라는 8문자의 복잡한 암호보다는 'phonecoffeesilverrisebaseball'이라는 5개의 단어를 적당히 조합한 암호가 훨씬 보안에 강하다고 한다. 또한 2단계 인증을 사용하는 것도 보안을 강화하기 위해 중요하다고 팅커는 강조했다.


김길수 기자 gskim@g-enews.com