8자 윈도 암호, 2시간 30분 만에 뚫려

8자로 이루어진 윈도(Windows) 암호를 불과 2시간 30분 만에 풀 수 있는 것으로 드러났다.

보안 연구자인 해커 팅커(Tinker)는 지난 13일(현지 시각) 자신의 트위터에 “엔비디아(NVIDIA) 최신 GPU ‘지포스(GeForce) RTX 2080 Ti’와 오픈소스 암호 복구 도구인 해시캣(hashcat) 툴을 결합해 8자로 이루어진 윈도 암호를 불과 2시간 30분에 풀 수 있다”고 밝혔다. 

▲출처: 해시캣(hashcat) 트위터

지난 2011년 보안 연구원인 스티븐 마이어(Steven Myer)는 44일이면 8자 암호가 강제로 풀릴 수 있다고 경고한 바 있다. 2015년 소프트웨어 개발자 제프 앳우드(Jeff Atwood)가 조사한 발표 자료에 따르면 평균적인 암호 길이는 8자로, 대부분 암호 길이를 바꾸는 노력을 하고 있지 않은 것으로 나타났다.

해커 팅커는 해시캣 버전 6.0.0 베타와 지포스 RTX 2080 Ti를 사용해 해시된 암호를 해독하는 속도를 체크했다. 그는 “현재의 패스워드 크래킹 벤치마크 결과, 최소 8자의 암호가 아무리 복잡해도 2시간 30분 만에 깰 수 있을 것”이라고 말했다. 즉, 8자로 이루어진 암호는 거의 무의미하다는 의미다. 

미국 국립표준기술 연구소(NIST)는 암호 길이에 대해 “최소한 8자 이상이 바람직하다”고 권고하고 있다. 하지만 2018년에 보안 연구원 트로이 헌트(Troy Hunt)가 여러 웹사이트를 대상으로 실시한 최소 암호 길이 조사에서 구글, 마이크로소프트, 야후가 8자를 설정했지만 페이스북, 링크드인, 트위터는 6자 길이밖에 되지 않았다 .

팅커는 “사람들이 암호를 만들 때 대문자 및 소문자, 숫자, 기호 등을 섞은 복잡한 문자열을 설정하도록 요구하지만, 사용자가 개별 암호를 기억하기가 어렵기 때문에 암호 설정에 최소 문자수인 8자 암호를 만들고 있다”고 지적했다.

▲출처: 미국 최대 사이언스 웹툰 xkcd

해결책으로 팅커는 암호를 설정할 때 무작위로 5개의 단어를 조합하면 좋다고 설명했다. 

가령 ‘Lm7xR0w’이라는 8자 이상의 복잡한 암호보다 ‘phonecoffeesilverrisebaseball’라는 5개 단어를 적당히 조합한 암호가 보안이 강하다는 것이다. 또한 2단계 인증을 사용하는 것도 보안을 강화하기 위한 좋은 방법이라고 말했다.

iT뉴스 / 김들풀 기자 itnews@