대부분의 패스워드를 1분 이내에 크래킹할 수 있는 AI 'PassGAN'

사이버 보안기업인 Home Security Heroes는 신경망으로 암호예측을 수행하는 AI PassGAN'을 사용하여 실제 암호를 분석하는 실험결과를 발표했습니다. 그에 따르면 일반적인 패스워드의 약 절반이 1분, 65%가 1시간 이내에 해석할 수 있었다고 합니다.

2023 Password Cracking: How Fast Can AI Crack Passwords?
https://www.homesecurityheroes.com/ai-password-cracking/

2023 Password Cracking: How Fast Can AI Crack Passwords?

일반적으로 패스워드를 분석하는 데 사용되는 패스워드 추측은 간단한 데이터 구동형 도구를 사용합니다. 즉, 방대한 데이터를 바탕으로 패스워드 분석을 실시하는 방식으로, 이러한 방법은 소규모로 예측 가능한 패스워드의 경우는 효율적으로 해석 가능하지만 샘플사이즈가 크고 패턴이 복잡해지면 시간이 걸린다고 합니다.

이번 Home Security Heroes가 이용한 PassGAN은 적대적 생성 네트워크(GAN)의 1종으로, 'Generative Network'와 'Discrimnate Network'라는 2개의 대립하는 신경망으로 구성되어 있습니다. PassGAN은 Generative Network가 가짜 패스워드 샘플을 생성하고 그 가짜 패스워드 샘플과 진짜 패스워드 샘플을 혼합한 것을 Discrimnate Network가 판별하는 시스템으로 학습을 거듭할 때마다 패스워드의 예측 정밀도가 올라가는 것이 특징입니다. 이를 통해 PassGAN은 기존의 패스워드 분석도구에 비해 더 광범위한 신속한 분석이 가능합니다.

Home Security Heroes의 테스트에서는 소셜 게임 사이트의 RockYou로부터 유출한 RockYou 데이터 세트로부터 1568만 건의 패스워드를 인용해 18문자 이상 혹은 4문자 미만의 패스워드를 제외한 뒤 PassGAN에 해석시켰다고 합니다.

그 결과, 패스워드의 51%가 불과 1분 이내에 해석할 수 있었고 1시간 이내에 전체의 65%, 1일 이내이면 71%, 1개월 이내이면 81%가 해석할 수 있었다고 합니다. 또 숫자나 알파벳뿐만이 아니라 기호가 포함되어 있는 7문자의 패스워드라도 6분 이내에 해석했다고 Home Security Heroes는 보고했습니다.

Home Security Heroes는 "18자를 넘는 암호는 PassGAN에 대해 안전하다고 말할 수 있다"며 18문자 이상인 경우 숫자만으로 구성된 패스워드라도 해석에는 적어도 10개월이 걸리고 기호·숫자·알파벳 소문자와 대문자로 구성된 패스워드의 해독에는 600경 년이 걸린다고 합니다.

Home Security Heroes는 패스워드는 최소 15자 이상 대문자, 소문자, 숫자 및 기호를 조합하여 만드는 것이 좋다며 PassGAN에 의한 해독을 막기 위해서는 중요한 패스워드는 수개월마다 변경하는 등의 운용도 유효하다고 전했습니다.