보안 – Book of Ryu's past and future in another universe, Chapter 4.

[Economist] Computer Passwords (컴퓨터 암호)

Computer passwords

컴퓨터 패스워드는 기억하기 쉽고 안전해야 한다.
많은 사람들은 기억하지는 쉽지만 안전하지 않은 암호를 이용한다.
연구원들은 양쪽 모두를 이루면서도 쉽게 이를 만들어 낼 수 있도록 노력하고 있다.

Mar 24th 2012 | from the print edition

암호는 컴퓨터 보안 어디에나 존재한다. 이들은 대부분 별로 효과가 없기도 하다. 좋은 암호는 기억하기 쉽고, 또 추측하기 어려워야 한다. 하지만 현실의 사람들은 전자에만 압도적으로 기울어 있는 것으로 보인다. 아내와 남편과 아이들의 이름이 암호로써 인기 있다. 몇몇은 극단적인 단순함을 추구한다. 이코노미스트의 한 전직 부 편집장은 암호로 “z”를 몇 년 동안 사용했다. 또한 해커들이 RockYou라는 소셜 게임 웹사이트에서 3천 2백만 개의 암호를 훔쳐냈을 때, 365,000명이나 되는 1.1%의 웹사이트 이용자들이 “123456” 또는 “12345”라는 암호를 사용했다.

이러한 예측 가능성 덕분에 보안 연구자들이 (그리고 해커들) 침입자들에게는 은혜와도 같은 일반적인 암호 리스트 사전을 만들 수 있었다. 하지만 또한 연구자들은 암호가 안전하지 않다는 것을 알아도, 어떻게 안전하지 않다는 것인지 밝혀내는 것은 어려운 일이었다. 많은 연구들은 다룰 수 있는 샘플이 오직 몇 천 정도에 불과했다. RockYou와 같은 해킹 된 웹사이트들은 더 많은 암호들을 제공해주었지만 해킹된 정보를 이용한다는 윤리적인 문제가 있었고, 이용 가능할지 예측 불가능했다.

하지만 5월 뉴욕의 전문 기관, Institute of Electrical and Electronics의 도움 하에 한 보안 컨퍼런스에서 소개된 논문에서 실마리를 보였다. 거대 인터넷 기업 Yahoo! 와의 협력으로 캠브리지 대학의 Joseph Bonneau는 7천만 개나 되는 지금까지 가장 큰 규모의 샘플과 함께 익명의 암호 주인에 대한 유용한 인구학적 데이터를 얻었다.

Bonneau는 흥미로운 차이들을 찾아냈다. 나이든 사람들은 젊은 사람보다 더 나은 암호를 사용한다. (기술에 빠삭한 젊은이들은 차지하고) 한국어나 독일어를 말하는 사람들이 가장 안전한 암호를 사용한다. 그 반대는 인도네시아 어를 쓰는 사람들이다. 신용카드 정보와 같은 민감한 정보를 위해 만든 암호는 게임 로그인과 같은 덜 중요한 곳에 쓰이는 암호보다 아주 조금 더 안전할 뿐이다. 사용자가 취약한 암호를 이용하고 있다는 “경고 화면”은 사실상 별로 쓸모가 없다. 또한 과거에 해킹된 경험이 있는 사용자라도 해킹된 경험이 없는 사용자에 비해 훨씬 더 강력한 암호를 사용하지도 않는다.

하지만 이런 샘플에 대한 폭 넓은 분석은 보안 연구자들에게는 가장 큰 관심 대상이다. 편차가 있지만, 일반적인 암호 사전은 전체 샘플 이나 혹은 어떤 인구학적으로 추출된 데이터에 대해서도 효과가 있어 7천만 이용자들에 대한 암호는 충분히 예측 가능했다. Bonneau는 직설적으로 “계정 당 10개의 추측을 할 수 있는 공격자라면 약 1% 계정에 대한 암호를 알아낼 수 있다.”라고 말했다. 그리고 이것은 해커의 관점에서는 시도해 볼만한 결과이다.

확실한 해결 방법 하나는 현금 입출금기가 그러하듯 사이트 들에서 계정이 차단되기 전에 할 수 있는 추측 입력의 수를 제한하는 것이다. 비록 거대 사이트인 구글이나 마이크로소프트 등에서 이러한 방법을 이용하고 있지만 (혹은 더 강력한), 상당수가 그렇지 못하다. 2010년, Bonneau와 그의 동료 Soren Preibusch가 150개의 샘플 거대 웹사이트를 조사한 결과 126개가 이러한 추측 제한을 이용하지 않고 있었다.

어떻게 이런 상황이 될 수 있는지 이해하기 어렵다. 몇몇 사이트에서는 이러한 느슨함이 합리적일 수도 있다. 왜냐하면 이 암호가 신용카드 정보와 같은 특별히 가치 있는 것을 보호하고 있지 않기 때문이다. 하지만, 허술한 암호 관리는 사람들이 많은 경우 같은 암호를 다른 여러 곳에서도 이용하고 있기 때문에 보안이 좋은 사이트에도 위협이 될 수 있다.

하나의 해석은 느슨한 암호 보안이 인터넷의 순진한 어린 시절의 문화적인 유물이라는 것이다. 학술적인 연구 네트워크였던 인터넷이 해커를 염려할 이유는 별로 없었다. 또 하나의 가능성은 많은 웹 사이트들이 재정난에 처한 스타트업으로부터 출발했기 때문에 별도의 암호 보안을 구현하는데 가치 있는 프로그래밍 시간을 투자 해야 하고, 따라서 초기 단계에서는 이를 생략한 후 더 이상 변경하려 신경 쓰지 않았다는 것이다. 하지만 이유야 어찌되었든, 웹 사이트를 서둘러 만들고자 했던 사람들이 전통적인 암호의 대안을 고려하여 함께 행동에 나서는 것이 맞다.

Skysail dactyl gimcrack golem

이러한 것의 하나가 Passpharases라 불리는 복수 단어 암호이다. 하나의 단어 대신에 여러 개를 이용하는 것은 공격자가 더 많은 글자를 추측하게 하고 결과적으로 더 안전하다. 하지만 선택된 구가 친숙한 용법으로 사전에 나타나지 않은 것이라야 한다.

Monneau와 그의 동료 Ekaterina Shutova는 2009년 10월부터 2012년 2월까지 미국 이용자들에게 복수 단어 암호를 이용하도록 허용한 온라인 리테일러 아마존의 실제 passphrase 시스템을 분석해왔다. 비록 암호보다 passpharase가 더 나은 보안을 제공하지만, 꿈꿔왔던 만큼은 아니었다는 사실을 알아냈다. 4개에서 5개의 임의로 선택된 단어로 이루어진 구는 상당히 안전하다. (예를 들어 위의 헤드라인 처럼) 하지만 이러한 구들을 기억하는 것은 몇몇의 임의로 선택된 암호를 기억하는 것보다 결코 쉽지 않다. 다시 한번, 기억해야 할 필요성은 공격자들에게는 은혜다. 영화 제목이나, 스포츠 용어나 비속어와 같은 이런저런 리스트들을 위해 인터넷을 스크랩한 결과, Bonneau와 Shutova는 20,656의 단어 사전을 만들 수 있었고, 이는 아마존 데이터베이스에 있는 계정 중 1.13%를 뚫을 수 있었다.

그 둘은 또한 이러한 인기 있는 구를 선택하지 않는 사람일지라도 완전한 임의가 아닌 자연언어에 나타나는 패턴들을 선호한다고 의심했다. 따라서 그들은 그들의 passphrase 모음을 British National Corpus(옥스포드 대학 출판사에서 관리하는 영어의 1억 개 단어 샘플) 에서 임의로 뽑아낸 2개의 단어로 이루어진 구와 비교했다. 또한 Google NGram Corpus(구글의 웹 크롤러에 의해 인터넷에서 뽑아낸 것)와도 비교했다. 확실했다. 그들은 일반적인 영어에서 흔한 구조들과 아마존의 이용자들이 선택한 구 간의 상당한 유사성을 발견했다. 그들이 시도한 것 중 13%의 형용사-명사 조합 (“beautiful woman”)과 5%의 부사-동사 조합(“probably keep”)이 적중했다.

이를 해결하는 한 방법은 암호와 passphrase의 아이디어들을 섞은 기억술 암호라는 것이다. 이것은 의미 없는 것으로 보이는 문자열로 기억하기 그리 어렵지 않다. 예를 들어, 구에 속한 각 단어의 첫 번째 글자만을 이용해, 대문자와 소문자를 다양하게 하고, “B”를 “8”로 바꾸는 식으로 어떤 글자를 대체한다. (따라서 “itaMc0Ttit8”은 이 괄호 안 문장의 연상 기호 축약 텍스트 이다.) 비록 기억술 암호라고 할지라도 완벽하지는 않다. 2006년에 발표된 한 연구에서는 가사나 영화 제목 같은 것들에 기반한 사전에서의 샘플 기억술 암호 중 4%가 뚫렸다.

결론은 아마 명확한 답이 없다는 사실이다. 모든 보안은 신경질 나게 한다. (자주 비행기를 타는 사람 누구에게나 물어봐라) 또한 사람들이 안전하기를 바라는 욕구와 간단해지기를 바라는 욕구 사이의 긴장이 항상 있을 것이라는 점이다. 이 긴장이 계속되는 한, 해커들은 항상 침입할 수 있을 것이다.

[Economist] 넘쳐나는 암호들 (Passwords aplenty)

Passwords aplenty
넘처나는 암호들

Dec 18th 2009 | LOS ANGELES
From Economist.com

How to stay sane as well as safe while surfing the web
어떻게 안전하면서도 헷갈리지 않게 웹을 이용할 수 있을까?

AT THIS time of the year, your correspondent crosses the Pacific to Japan for a month or so. He repeats the trip during the summer. He considers it crucial in order to keep abreast of all the ingenious technology which, once debugged by the world’s most acquisitive consumers, will wind up in American and European shops a year or two later.

이맘 때, 특파원은 태평양을 건너 일본을 한달 남짓 방문한다. 그는 여름에도 이와 같은 일을 한다. 그는 이것이 첨단 기술에 발 맞추어 가는데 필수적이라고 생각한다. 이 기술들은 세계에서 가장 열정적인 일본의 소비자들에 의해 검수 받았고, 한두해 뒤에는 미국과 유럽의 상점들에 활기를 불어 넣을 것이다.

Each time he packs his bags, though, he is embarrassed by having to include a dog-eared set of notes that really ought to be locked up in a safe. This is his list of logons and passwords for all the websites he uses for doing business and staying in touch with the rest of the world. At the last count, the inch-thick list accumulated over the past decade or so—your correspondent’s sole copy—includes access details for no fewer than 174 online services and computer networks.

하지만 짐을 꾸릴때 마다 그는 정말 안전하게 보관되어야 할 귀퉁이가 접힌 한아름의 노트들을 집어 넣는데 골머리를 앓는다. 여기에는 일을 위해 접속하는 웹사이트들과 다른 나라의 사람들과 연락을 위한 로그인 정보와 비밀번호들이 적혀있다. 최근까지 10여년이 넘게 축적된 두꺼운 리스트에는 그 한사람을 위한 카피만 해도 최소 174개 이상의 온라인 서비스와 컴퓨터 네트워크 정보가 기록되어있다.

He admits to flouting the advice of security experts: his failings include using essentially the same logon and password for many similar sites, relying on easily remembered words—and, heaven forbid, writing them down on scraps of paper. So his new year’s resolution is to set up a proper software vault for the various passwords and ditch the dog-eared list.

그는 보안 전문가의 조언을 무시한 것을 후회한다. 그의 잘못은 비슷한 웹사이트들을 위해 같은 로그인 정보와 비밀번호를 사용한 것, 쉽게 기억할 수 있는 단어들을 사용한 것, 또한 당치도 않게 그 정보를 종이에 적어놓은 것이다. 따라서 그의 신년 계획은 적당한 소프트웨어를 찾아 비밀번호를 관리하고 그 낡은 리스트를 버리는 것이다.

Your correspondent’s one consolation is that he is not alone in using easily crackable words for most of his passwords. Indeed, the majority of online users have an understandable aversion to strong, but hard-to-remember, passwords. The most popular passwords in Britain are “123” followed by “password”. At least people in America have learned to combine letters and numbers. Their most popular ones are “password1” followed by “abc123”.

그의 단 하나 위안거리는 그가 자신의 비밀번호로 쉽게 깨지는 단어를 선택해서 쓰는 유일한 사람은 아니라는 점이다. 사실, 온라인의 대다수는 강력하지만 외우기 어려운 암호를 쓰기 싫어하는, 일견 이해가 되는 꺼려함을 가지고 있다. 영국에서 가장 많이 쓰이는 비밀번호는 "123"이고 이에 뒤이어 "password"이다. 미국 사람들은 문자와 숫자를 섞어야 한다는 사실을 배운 것 같다. 그들이 가장 많이 쓰는 암호는 "password1"이고 뒤이어 "abc123"이다.

Unfortunately, the easier a password is to remember, the easier it is for thieves to guess. Ironically, the opposite—the harder it is to remember, the harder it is to crack—is often far from true. That is because, not being able to remember long, jumbled sets of alphanumeric characters interspersed with symbols, people resort to writing them down on Post-it notes left lying around the office or home for all and sundry to see.

불행히도, 외우기 쉬운 간단한 비밀번호는 도둑들에게도 추측하기 쉽다. 역설적으로, 그 정반대, 즉 외우기도 어렵고 따라서 깨지기도 쉬운 비밀번호라는 것도 사실과는 거리가 멀다. 이것은, 너무 길고 알파벳과 숫자가 뒤죽박죽이 되어 기호 사이에 흩어져 외우기 어렵기 때문에, 사람들은 이를 포스트 잇 노트에 써서 사무실이나 집에 전부 붙여놓게 된다.

Apart from stealing passwords from Post-it notes and the like, intruders basically use one of two hacks to gain access to other people’s computers or networks. If time and money is no problem, they can use brute-force methods that simply try every combination of letters, numbers and symbols until a match is found. That takes a lot of patience and computing power, and tends to be the sort of thing only intelligence agencies indulge in.

비밀번호를 포스트 잇 노트에서 몰래 훔쳐 보는 등의 방법과는 별도로 칩입자들은 사람들의 컴퓨터나 네트워크 접근 권한을 얻기 위해 보통 하나 혹은 두개 정도의 해킹 방법을 사용한다. 만약 시간이나 돈이 충분하면 막무가내로 가능한 모든 문자, 숫자, 기호들을 넣어서 비밀번호를 찾아낼 수 있다. 이 방법은 엄청난 인내와 컴퓨팅 파워를 필요로 하기 때문에 첩보 기관에서나 쓰이는 기술이 되었다.

A more popular, though less effective, way is to use commercial software tools such as “L0phtCrack” or “John the Ripper” that can be found on the internet. These use dictionaries, lists of popular passwords and rainbow tables (lookup tools that turn long numbers computed from alphanumeric characters back into their original plain text) to recover passwords.

더 인기있지만 덜 효과적인 방법 하나는 "L0phtCrack"나 "John the Ripper" 같은 인터넷에서 찾을 수 있는 상용 소프트웨어 도구를 사용하는 것이다. 이 소프트웨어들은 사전과 인기있는 비밀번호들의 리스트, 또 레인보우 테이블(알파벳/숫자로부터 계산된 긴 숫자들을 다시 원래의 텍스트로 돌리는 기능을 하는 도구)을 비밀번호를 알아내기 위해 사용한다.

According to Bruce Schneier, an independent security expert, today’s password crackers “can test tens—even hundreds—of millions of passwords per second.” In short, the vast majority of passwords used in the real world can be guessed in minutes. And do not think you are being smart by replacing the letters “l” or “i” in a password with the number “1”; or the letter “s” with the number “5” or the symbol “$”. Cracking programs check all such alternatives, and more, as a matter of course.

보안 전문가 브루스 슈나이더에 따르면, 오늘날의 비밀번호를 도용하고자 하는 사람들은 수천만, 수억개의 비밀번호를 1초에 테스트해 볼수 있다고 한다. 즉, 거의 대부분의 일상적으로 통용되는 비밀번호는 몇 분이면 알아낼 수 있다. 또 비밀번호에서 단지 글자 ‘ㅣ’이나 ‘i’를 숫자 ‘1’로 바꾸거나, 글자 ‘s’를 숫자 ‘5’ 혹은 기호 ‘$’로 바꾼다고 충분할 것이라고 생각하는 것은 금물이다. 해킹 프로그램들도 당연히 그런 수법들을 체크하는 것 이상을 한다.

What should you do to protect yourself? Chose passwords that are strong enough to make cracking them too time consuming for thieves to bother.

비밀번호를 지키기 위해서는 그렇다면 어떤 일을 해야 할까? 충분히 강력해서 알아내는데 시간이 오래걸리고 따라서 도둑들이 짜증나도록 하는 비밀번호를 선택해야 한다.

The strength of a password depends on its length, complexity and randomness. A good length is at least eight symbols. The complexity depends on the character set. Using numbers alone limits the choice to just ten symbols. Add upper- and lower-case letters and the complexity rises to 62. Use all the symbols on a standard ASCII keyboard and you have 95 to choose from.

비밀번호의 강력함은 그것의 길이, 복잡도, 임의성에 달려있다. 최소 8글자 이상의 길이를 가져야 한다. 복잡도는 어떤 글자 집합을 사용하는 지에 달려있다. 숫자만을 사용한다면 10개의 선택지 밖에 주어지지 않는다. 소문자, 대문자 알파벳을 사용한다면 복잡도는 62까지 올라간다. ASCII 표준 키보드에 나오는 모든 기호를 사용하면 95개 중 선택할 수 있다.

The third component, randomness, is measured by a concept borrowed from thermodynamics—the notion of entropy (the tendency for things to become disordered). In information theory, a tossed coin has an entropy of one “bit” (binary digit). That is because it can come down randomly in one of two equally possible binary states.

세번째 요소인 임의성은 열역학에서 차용한 개념인 "엔트로피"로 측정된다. (어떤것이 혼란스러워 지려하는 경향성) 정보 이론에서, 던져진 동전은 1 bit의 엔트로비를 가진다. (이진수) 이것은 가능한 2개의 상태에서 동일한 확률로 하나가 선택되기 때문이다.

At the other extreme, when you set the encryption of a Wi-Fi link, you are usually given the choice of 64-bit or even 128-bit security. Those bit-numbers represent the entropy (or randomness) of the encryption used. A password with 64 bits of entropy is as strong as a string of data comprising 64 randomly selected binary digits. Put another way, a 64-bit password would require 2 raised to the power of 64 attempts to crack it by brute force—in short, 18 billion billion attempts. A 64-bit password was finally cracked in 2002 using brute-force methods. It took a network of volunteers nearly five years to do so.

반면, Wi-fi 링크에 대한 암호를 설정할때는 보통 64bit 혹은 128bit의 보안을 설정해야 한다. 이 bit들은 사용되는 암호의 엔트로비 (임의성)을 나타낸다. 64bit의 비밀번호는 2진수 중에 64번 임의로 선택된 일련의 데이터 만큼의 강력함을 가진다. 다르게 말해서, 64비트의 비밀번호를 알아내기 위해서는 2의 64제곱, 10억이 180억개 있는 것 만큼 시도를 필요로 한다. 64비트 비밀번호는 이러한 단순한 방법에 의해 2002년 깨진 전례가 있다. 자원자들이 동원되어 거의 5년이 걸렸다.

The National Institute of Standards and Technology, the American government’s standards-measuring laboratory in Gaithersburg, Maryland, recommends 80-bit passwords for state secrets and the like. Such security can be achieved using passwords with 12 symbols, drawn from the full set of 95 symbols on the standard American keyboard. For ordinary purposes, that would seem overkill. A 52-bit password based on eight symbols selected from the standard keyboard is generally adequate.

미국 정부의 표준 제정 연구소로 메릴랜드 게이터스버그에 위치한 표준 기술 국가 기구은 주 기밀 문서 등에 대해 80bit의 비밀번호를 권장한다. 이는 95개의 심볼로 이루어진 미 표준 키보드에서 12개를 뽑아서 비밀번호로 사용하는 것과 같다. 일반적인 목적으로 이는 너무 과해 보인다. 표준 키보드에서 뽑아낸 8개의 심볼로 이루어진 52bit의 비밀번호라면 일반적으로 충분하다.

How to select the eight? Best to let a computer program generate them randomly for you. Unfortunately, the result will be something like 6sDt%k&3 that probably needs to be written down. One answer, only slightly less rigorous, is to use a mnemonic constructed from the first letters (plus contractions) of an easily remembered phrase like “Murder Considered as One of the Fine Arts” (MCa1otFA) or “To be or not to be: that is the question” (2Bo-2b:?).

어떻게 8개를 선택해야할까? 컴퓨터 프로그램이 임의로 8개를 선택하게 하는 것이 가장 좋을 것이다. 불행히도, 결과는 "6sDt%k&3" 과 같아서 어딘가에 적어 놓아야 할 것이다. 하나의 해결책은 조금 덜 정확 하지만, 첫 글자들로만 이루어진(축소법도 함께) "Murder Considered as One of the Fine Arts" (MCa1otFA)나 "To be or not to be: that is the question" (2Bo-2b:?) 같은 기억 부호를 사용하는 것이다.

Given a robust 52-bit password, you can then use a password manager to take care of the dozens of easily guessable ones used to access various web services. There are a number of perfectly adequate products for doing this. In an early attempt to fulfil his new year’s pledge, your correspondent has been experimenting with LastPass, a free password manager that works as an add-on to the Firefox web browser for Windows, Linux or Macintosh. Versions also exist for Internet Explorer on Windows and Safari on the Mac.

다양한 웹서비스들의 접근을 위해 쉽게 추측할 수 있는 다수의 비밀번호를 관리해주는 비밀번호 관리자를 강력한 52비트의 비밀번호 하나로 사용할 수 있을 것이다. 이러한 기능을 완벽하게 구현한 다수의 제품들이 있다. 특파원이 그의 신년 맹세를 지키기 처음으로 사용한 것은 LastPass라는 비밀번호 관리자이다. 이것은 윈도우나 리눅스, 매킨토시에서의 파이어폭스 웹 브라우져의 Add-on 형태로 구동된다. 물론 윈도우의 인터넷 익스플로러나, 맥에서의 사파리를 위한 버젼도 있다.

Once installed and given a strong password of its own, plus an e-mail address, LastPass encrypts all the logons and passwords stored on your computer. So, be warned: forget your master password and you could be in trouble—especially if you have let the program delete (as it urges you to let it do) all the vulnerable logons and passwords on your own computer.

인스톨 후에 이 프로그램 자체를 위한 강력한 비밀번호를 하나, 그리고 이메일을 위한 것 하나를 부여하면 LastPass는 모든 로그인 정보와 비밀번호를 암호화해서 설치된 컴퓨터에 저장한다. 따라서 이 프로그램을 위한 마스터 비밀번호를 잃어버리지 않아야 하고, 또 저장되어있는 모든 취약한 비밀번호를 삭제하라고 시키는 경우도 (확인 과정이 있지만) 곤란해 질 수 있다.

Thereafter, to visit various web services, all you have to do is log into LastPass and click the website you wish to check out. The tool then automatically logs you on securely to the selected site. It will even complete all the forms needed to buy goods online if you have stored your home address, telephone number and credit-card details in the vault as well.

그 이후, 다양한 웹 서비스에 접속하기 위해서는 간단히 LastPass에 로그인해서 접속하기 원하는 웹사이트를 클릭하기만 하면 된다. LastPass가 자동적으로 안전한 방법으로 선택한 사이트에 로그인 시켜 줄 것이다. 온라인 쇼핑을 위해 채워 넣어야 하는 집주소, 전화번호, 신용카드 정보들도 이 소프트웨어 속에 안전하게 보관 될 것이다.

Your correspondent looks forward to using the service while travelling around Japan over the next month or so. To be on the safe side, however, his dog-eared list of passwords will still go with him.

이 특파원은 다음달에 있을 일본 방문때 이러한 서비스들을 사용하기를 기대하고 있다. 하지만, 정말로 안전하려면 그의 귀퉁이가 접힌 비밀번호 노트들을 항상 가지고 다녀야 할 것이다.

—————

정말 비밀번호 ‘헬’이다. 누가 마음만 먹고, 충분한 끈기만 가지고 있다면, 비밀번호를 알아내는 것 쯤은 아무것도 아닌 세상이다. 단지 그 타켓이 될 만큼 유명해지지 않기를 바랄뿐.