자유시간

보안기업인 Hive Systems는 암호의 길이와 복잡성에 따라 강도가 얼마나 달라지는지를 요약한 암호 테이블을 매년 발표합니다. 2024년에는 여러 그래픽카드가 암호를 해독하는 데 얼마나 걸리는지 조사한 결과가 발표되었습니다.

Are Your Passwords in the Green?
https://www.hivesystems.com/blog/are-your-passwords-in-the-green

Nvidia's flagship gaming GPU can crack complex passwords in under an hour | Tom's Hardware
https://www.tomshardware.com/pc-components/gpus/nvidias-flagship-gaming-gpu-can-crack-complex-passwords-in-under-an-hour

인터넷 서비스에서 사용자의 암호를 데이터베이스에 직접 저장하면 서비스 제공자가 들여다보거나 데이터 유출에 의해 그대로 유출될 위험이 있습니다. 그래서 패스워드에 대해서 일의적인 수학적 변환을 가해 원래의 문자열로부터 복원이 곤란한 해시치를 보존하는 방식이 이용됩니다.

Hive Systems는 실제로 자주 사용되는 해시 알고리즘으로 MD5와 bcrypt를 상정하고 고성능 GPU를 탑재한 PC에서 해시 계산 속도를 측정하였으며 모든 문자 조합을 해시화하여 비밀번호 해시와 일치하는 것을 찾아내는 '브루트포스 공격'을 상정해 완료까지의 최장 시간을 계산했습니다.

비밀번호의 문자수는 미국 국립표준기술연구소(NIST)의 비밀번호 작성 가이드라인에서 최소한 필요하다고 보는 8자를 상정했으며 사용되는 문자열은 무작위로 되어 있습니다.

MD5에 의해 해시화된 8문자의 패스워드에 대한 해독시간을 정리한 표를 살펴보면 게이밍용 GPU에서 최상위 클래스인 RTX 4090이 숫자와 대문자와 소문자와 기호를 이용한 가장 복잡한 패스워드를 불과 1시간 안에 해독할 수 있습니다.

bcrypt에 의해 해시화된 8문자의 패스워드의 경우 MD5보다 보안 강도가 높고 숫자와 대문자와 소문자와 기호 조합이라면 8문자라도 A100을 12개 사용해도 12년은 걸립니다.

Hive Systems는 ChatGPT용 GPU 클러스터를 렌탈하여 A100을 1만 개 동원해 검증도 시도했는데 이 방법이라면 재빠르게 해독할 수 있지만 IT계 뉴스사이트 Tom's Hardware는 "대규모 GPU 클러스터 대여는 상당한 비용이 들기 때문에 실제로 하나의 암호를 피싱하는 수단으로는 현실적이지 않다"고 보았습니다.

또 bcrypt로 해시화한 패스워드를 A100×8기로 해독한 결과를 문자수(세로열)와 패스워드의 문자 종류(가로열)로 정리한 표를 살펴보면 당연히 문자수가 늘어나면 늘어날수록 해독에 걸리는 시간은 길어져 갑니다. 숫자만으로 된 패스워드에서도 14문자 이상이면 해독에 3년 걸리고 숫자와 대문자와 소문자와 기호로 된 패스워드라면 9문자를 넘으면 해독에 1000년은 걸린다고 합니다.