Computer passwords
컴퓨터 패스워드는 기억하기 쉽고 안전해야 한다.
많은 사람들은 기억하지는 쉽지만 안전하지 않은 암호를 이용한다.
연구원들은 양쪽 모두를 이루면서도 쉽게 이를 만들어 낼 수 있도록 노력하고 있다.
Mar 24th 2012 | from the print edition
암호는 컴퓨터 보안 어디에나 존재한다. 이들은 대부분 별로 효과가 없기도 하다. 좋은 암호는 기억하기 쉽고, 또 추측하기 어려워야 한다. 하지만 현실의 사람들은 전자에만 압도적으로 기울어 있는 것으로 보인다. 아내와 남편과 아이들의 이름이 암호로써 인기 있다. 몇몇은 극단적인 단순함을 추구한다. 이코노미스트의 한 전직 부 편집장은 암호로 “z”를 몇 년 동안 사용했다. 또한 해커들이 RockYou라는 소셜 게임 웹사이트에서 3천 2백만 개의 암호를 훔쳐냈을 때, 365,000명이나 되는 1.1%의 웹사이트 이용자들이 “123456” 또는 “12345”라는 암호를 사용했다.
이러한 예측 가능성 덕분에 보안 연구자들이 (그리고 해커들) 침입자들에게는 은혜와도 같은 일반적인 암호 리스트 사전을 만들 수 있었다. 하지만 또한 연구자들은 암호가 안전하지 않다는 것을 알아도, 어떻게 안전하지 않다는 것인지 밝혀내는 것은 어려운 일이었다. 많은 연구들은 다룰 수 있는 샘플이 오직 몇 천 정도에 불과했다. RockYou와 같은 해킹 된 웹사이트들은 더 많은 암호들을 제공해주었지만 해킹된 정보를 이용한다는 윤리적인 문제가 있었고, 이용 가능할지 예측 불가능했다.
하지만 5월 뉴욕의 전문 기관, Institute of Electrical and Electronics의 도움 하에 한 보안 컨퍼런스에서 소개된 논문에서 실마리를 보였다. 거대 인터넷 기업 Yahoo! 와의 협력으로 캠브리지 대학의 Joseph Bonneau는 7천만 개나 되는 지금까지 가장 큰 규모의 샘플과 함께 익명의 암호 주인에 대한 유용한 인구학적 데이터를 얻었다.
Bonneau는 흥미로운 차이들을 찾아냈다. 나이든 사람들은 젊은 사람보다 더 나은 암호를 사용한다. (기술에 빠삭한 젊은이들은 차지하고) 한국어나 독일어를 말하는 사람들이 가장 안전한 암호를 사용한다. 그 반대는 인도네시아 어를 쓰는 사람들이다. 신용카드 정보와 같은 민감한 정보를 위해 만든 암호는 게임 로그인과 같은 덜 중요한 곳에 쓰이는 암호보다 아주 조금 더 안전할 뿐이다. 사용자가 취약한 암호를 이용하고 있다는 “경고 화면”은 사실상 별로 쓸모가 없다. 또한 과거에 해킹된 경험이 있는 사용자라도 해킹된 경험이 없는 사용자에 비해 훨씬 더 강력한 암호를 사용하지도 않는다.
하지만 이런 샘플에 대한 폭 넓은 분석은 보안 연구자들에게는 가장 큰 관심 대상이다. 편차가 있지만, 일반적인 암호 사전은 전체 샘플 이나 혹은 어떤 인구학적으로 추출된 데이터에 대해서도 효과가 있어 7천만 이용자들에 대한 암호는 충분히 예측 가능했다. Bonneau는 직설적으로 “계정 당 10개의 추측을 할 수 있는 공격자라면 약 1% 계정에 대한 암호를 알아낼 수 있다.”라고 말했다. 그리고 이것은 해커의 관점에서는 시도해 볼만한 결과이다.
확실한 해결 방법 하나는 현금 입출금기가 그러하듯 사이트 들에서 계정이 차단되기 전에 할 수 있는 추측 입력의 수를 제한하는 것이다. 비록 거대 사이트인 구글이나 마이크로소프트 등에서 이러한 방법을 이용하고 있지만 (혹은 더 강력한), 상당수가 그렇지 못하다. 2010년, Bonneau와 그의 동료 Soren Preibusch가 150개의 샘플 거대 웹사이트를 조사한 결과 126개가 이러한 추측 제한을 이용하지 않고 있었다.
어떻게 이런 상황이 될 수 있는지 이해하기 어렵다. 몇몇 사이트에서는 이러한 느슨함이 합리적일 수도 있다. 왜냐하면 이 암호가 신용카드 정보와 같은 특별히 가치 있는 것을 보호하고 있지 않기 때문이다. 하지만, 허술한 암호 관리는 사람들이 많은 경우 같은 암호를 다른 여러 곳에서도 이용하고 있기 때문에 보안이 좋은 사이트에도 위협이 될 수 있다.
하나의 해석은 느슨한 암호 보안이 인터넷의 순진한 어린 시절의 문화적인 유물이라는 것이다. 학술적인 연구 네트워크였던 인터넷이 해커를 염려할 이유는 별로 없었다. 또 하나의 가능성은 많은 웹 사이트들이 재정난에 처한 스타트업으로부터 출발했기 때문에 별도의 암호 보안을 구현하는데 가치 있는 프로그래밍 시간을 투자 해야 하고, 따라서 초기 단계에서는 이를 생략한 후 더 이상 변경하려 신경 쓰지 않았다는 것이다. 하지만 이유야 어찌되었든, 웹 사이트를 서둘러 만들고자 했던 사람들이 전통적인 암호의 대안을 고려하여 함께 행동에 나서는 것이 맞다.
Skysail dactyl gimcrack golem
이러한 것의 하나가 Passpharases라 불리는 복수 단어 암호이다. 하나의 단어 대신에 여러 개를 이용하는 것은 공격자가 더 많은 글자를 추측하게 하고 결과적으로 더 안전하다. 하지만 선택된 구가 친숙한 용법으로 사전에 나타나지 않은 것이라야 한다.
Monneau와 그의 동료 Ekaterina Shutova는 2009년 10월부터 2012년 2월까지 미국 이용자들에게 복수 단어 암호를 이용하도록 허용한 온라인 리테일러 아마존의 실제 passphrase 시스템을 분석해왔다. 비록 암호보다 passpharase가 더 나은 보안을 제공하지만, 꿈꿔왔던 만큼은 아니었다는 사실을 알아냈다. 4개에서 5개의 임의로 선택된 단어로 이루어진 구는 상당히 안전하다. (예를 들어 위의 헤드라인 처럼) 하지만 이러한 구들을 기억하는 것은 몇몇의 임의로 선택된 암호를 기억하는 것보다 결코 쉽지 않다. 다시 한번, 기억해야 할 필요성은 공격자들에게는 은혜다. 영화 제목이나, 스포츠 용어나 비속어와 같은 이런저런 리스트들을 위해 인터넷을 스크랩한 결과, Bonneau와 Shutova는 20,656의 단어 사전을 만들 수 있었고, 이는 아마존 데이터베이스에 있는 계정 중 1.13%를 뚫을 수 있었다.
그 둘은 또한 이러한 인기 있는 구를 선택하지 않는 사람일지라도 완전한 임의가 아닌 자연언어에 나타나는 패턴들을 선호한다고 의심했다. 따라서 그들은 그들의 passphrase 모음을 British National Corpus(옥스포드 대학 출판사에서 관리하는 영어의 1억 개 단어 샘플) 에서 임의로 뽑아낸 2개의 단어로 이루어진 구와 비교했다. 또한 Google NGram Corpus(구글의 웹 크롤러에 의해 인터넷에서 뽑아낸 것)와도 비교했다. 확실했다. 그들은 일반적인 영어에서 흔한 구조들과 아마존의 이용자들이 선택한 구 간의 상당한 유사성을 발견했다. 그들이 시도한 것 중 13%의 형용사-명사 조합 (“beautiful woman”)과 5%의 부사-동사 조합(“probably keep”)이 적중했다.
이를 해결하는 한 방법은 암호와 passphrase의 아이디어들을 섞은 기억술 암호라는 것이다. 이것은 의미 없는 것으로 보이는 문자열로 기억하기 그리 어렵지 않다. 예를 들어, 구에 속한 각 단어의 첫 번째 글자만을 이용해, 대문자와 소문자를 다양하게 하고, “B”를 “8”로 바꾸는 식으로 어떤 글자를 대체한다. (따라서 “itaMc0Ttit8”은 이 괄호 안 문장의 연상 기호 축약 텍스트 이다.) 비록 기억술 암호라고 할지라도 완벽하지는 않다. 2006년에 발표된 한 연구에서는 가사나 영화 제목 같은 것들에 기반한 사전에서의 샘플 기억술 암호 중 4%가 뚫렸다.
결론은 아마 명확한 답이 없다는 사실이다. 모든 보안은 신경질 나게 한다. (자주 비행기를 타는 사람 누구에게나 물어봐라) 또한 사람들이 안전하기를 바라는 욕구와 간단해지기를 바라는 욕구 사이의 긴장이 항상 있을 것이라는 점이다. 이 긴장이 계속되는 한, 해커들은 항상 침입할 수 있을 것이다.