AI의 비밀번호 해독 위험성

AI가 타인의 비밀번호 해독에 악용될 수 있다는 연구 결과가 나왔다. 미국의 사이버 보안 회사 홈 시큐리티 히어로즈는 최근 AI가 비밀번호를 얼마나 빨리 해독할 수 있는지 연구한 결과를 발표했다. 연구원들은 GAN (생성적 적대 신경망) 기반의 비밀번호 생성기 ‘PassGAN’을 활용해 4자리 이상 18자리 이하의 암호 1,568만 개를 머신러닝 모델로 해독했다. 연구 결과에 따르면 PassGAN AI는 1분 이내에 일반적인 비밀번호의 51%를 해독할 수 있는 것으로 나타났다.

또 1시간 이내에는 65%, 하루만에 71%, 1개월 이내에 81%의 암호를 해독할 수 있었다. 하지만, 비밀번호가 길어지고 대문자, 소문자, 특수문자가 혼합될수록 해독에 걸리는 시간은 기하급수적으로 늘어났다. AI는 숫자 11개로 이루어진 암호는 즉시 해독했지만, 소문자가 섞인 11자의 암호는 23시간, 대문자와 소문자, 숫자가 혼합된 11자의 암호를 해독하는 데는 4년의 시간이 걸린다는 결과가 나왔다.

연구소는 미국인 10명 중 6명은 8자에서 11자 길이의 비밀번호를 사용하고 있으며, 12자 이상의 비밀번호를 사용하는 비율은 3분의 1도 되지 않는다고 설명했다. 또 이렇게 짧고 간단한 비밀번호는 기억하기 쉽지만, 공격에 더 취약하다고 말했다. 이에 따라 해결책으로 2개 이상의 대문자와 소문자가 포함된 15자 이상의 암호를 사용하고, 가능하면 특수 문자도 섞도록 권장했다. 또 3~6개월 간격으로 주기적으로 비밀번호를 변경하고, 여러 계정에 동일한 비밀번호를 사용하지 않도록 권장했다.

비밀번호만으로는 AI로부터 완전한 보안을 담보할 수 없다는 연구 결과도 있다. 지난해 10월 글래스고 대학에서는 AI와 열화상 카메라를 이용해 스마트폰, 컴퓨터 키보드, 또는 ATM 기기에 입력한 비밀번호를 해독하는 ‘써모시큐어’ 시스템을 개발했다. 열화상 카메라를 활용해 이용자의 손가락이 닿은 부분을 특정한 뒤, AI를 활용해 다양한 조합을 시도하는 방식으로 비밀번호 해독이 이루어졌다. 그 결과 암호의 약 86%가 20초 이내에 해독되었으며, 76%는 30초 이내에 해독되었다. 

연구원들은 AI에 대한 일반인의 접근성이 높아지면서 범죄자들이 열화상 기술을 악용해 컴퓨터와 스마트폰에 침입할 수 있다고 경고했다. 이에 따라 길고 추측하기 어려운 암호를 사용해야 하며, 비밀번호 외에도 지문 또는 얼굴 인식과 같은 대체 인증 방법을 채택해야 한다고 말했다.

빅테크들은 비밀번호를 대체하기 위해 다양한 보안수단을 강구하고 있는 것이다. 애플, 구글, 마이크로소프트는 지난해 5월 ‘암호 없는 로그인’ 표준 확대를 위해 협력하기로 발표하기도 했다. 암호 없는 로그인 시대에서 주목받는 보안수단 중 하나는 ‘패스키’다. 패스키는 앱 혹은 웹사이트에 로그인할 때 쓰이던 기존의 아이디·비밀번호 방식과 달리, 서버에 비밀번호 정보를 남기지 않는다.

또한 '종단 간 암호화'(end-to-end encryption) 기술을 이용해 유출되는 개인정보가 없도록 설계됐다. 종단 간 암호화 기술은 메시지를 보내는 곳부터 받는 곳까지 모든 과정에서 암호화 기술을 유지하는 정보 전송 방식이다. 현재 빅테크들은 패스키 지원에 적극 나서고 있으며, 규모가 작은 스타트업들 역시 패스키 확산을 위해 움직이고 있다. 국내에서는 한국정보인증이 패스키 서비스인 KICA 원-ID를 개발중이다.

http://www.ekoreanews.co.kr/news/articleView.html?idxno=66362