Home > 전체기사
인공지능도 사람과 같은 수준으로 비밀번호 만들 수 있을까?
  |  입력 : 2017-09-26 17:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
두 가지 딥 뉴럴 네트워크 기술 합한 패스갠 기술
비밀번호로만 지키는 보안, 정말로 종식되어야 할 때


[보안뉴스 문가용 기자] 뉴욕의 스티븐스 공과대학교(Stevens Institute of Technology)와 뉴욕정보기술대학(New York Institute of Technology)이 힘을 합해 ‘비밀번호를 대단히 효율적으로 추측하는 방법’을 고안해냈다. 그들은 딥 러닝과 관련 있는 생산적 적대 신경망(Generative Adversarial Networks, GAN)을 활용했다고 해서 이 툴을 패스갠(PassGAN)이라고 부른다.

[이미지 = iclickart]


이 패스갠 기술은 최신의 규칙 기반 비밀번호 추측 툴인 해시캣(HashCat)이나 존더리퍼(John the Ripper)보다도 향상된 것이며, 실험을 통해 이를 확인할 수 있었다고 연구원들은 주장하고 있다. “총 5,919,936개의 비밀번호들에서 2,774,269개의 비밀번호를 제대로 추측할 수 있었습니다. 성공률이 47%라는 소리입니다. 존더리퍼보다 두 배 가까운 수치이며 해시캣보다도 조금 더 나은 수준입니다. 이 실험은 2010년 록유(RockYou) 정보 유출 사건을 통해 공개된 비밀번호들을 샘플로 삼아 진행됐습니다.”

해시캣과 패스갠을 함께 사용할 경우에는 해시캣만 사용했을 때보다 24%의 비밀번호를 추가로 추측해 맞출 수 있었다고 한다. 연구원 중 한 명인 파올로 가스티(Paolo Gasti)는 “패스갠은 일종의 개념증명으로서, 여태까지 등장한 비밀번호 추측 툴들이 보여준 것보다 훨씬 높은 성과를 내는 게 가능하다는 걸 드러냈습니다.”

GAN이란 인공지능에 주입되는 데이터와 거의 똑같거나 매우 비슷한 데이터를 독립적으로 만들어내는 뉴럴 네트워크(신경망)라고 볼 수 있다. 전문가들은 GAN을 활용해 사람, 동물, 침실 등 실제와 매우 똑같은 이미지를 생성하곤 한다. 이렇게 생성된 이미지는 또 다시 실제와 가짜를 구분해내는 ‘인공지능’을 연마시키기 위해 사용되기도 하며, 인공지능이 만든 가짜 이미지와 진짜 이미지의 차이를 연구해내는 데에도 활용된다.

GAN은 변별적 딥 뉴럴 네트워크(discriminative deep neural network)와 생산적 딥 뉴럴 네트워크(generative deep neural network)로 구성되어 있다. 이 두 가지 종류의 신경망들은 끝없이 상호작용을 하거나 정보를 교환한다. 예를 들면 변별적 딥 뉴럴 네트워크에는 수천, 수만 개의 새(bird) 이미지가 입력된다. 그럼 이 데이터가 생산적 딥 뉴럴 네트워크로 전달되는데, 이 목적은 실제 이미지와 흡사한 이미지를 생성할 수 있도록 생산적 딥 뉴럴 네트워크를 훈련시키기 위함이다.

가스티는 “마치 목격자와 몽타주 작성자와의 관계처럼 서로에게 도움을 준다”고 그 상호작용에 대해 설명한다. “몽타주를 그리는 사람이 먼저 커다란 윤곽 등을 대략적으로 그려나가면 목격자가 자신이 아는 것을 알려주죠. 그리는 사람은 그 정보에 근거해 뭔가를 더하거나 빼거나 하고요. 이 과정을 멈추지 않고 계속해서 진행하면 몽타주가 완성됩니다. 정확한 비유는 아니지만, GAN의 두 신경망이 대략 그런 식으로 작동한다고 볼 수 있습니다.”

가스티와 함께한 연구원들은 “이미지 데이터가 아니라 비밀번호 데이터를 입력하면 어떨까?”하는 데에 생각이 닿았다고 한다. “그렇다면 혹시 실제와 매우 비슷한 비밀번호 데이터셋이 탄생할 수 있지 않을까, 누군가 물었죠. 즉 실제 비밀번호 데이터셋만 학습시킬 수 있다면 우린 인공지능을 통해 실제와 매우 흡사한 비밀번호 샘플을 다량 확보할 수 있게 되는 겁니다. 그래서 실험해본 것이 패스갠입니다.”

이런 실험을 해본 이유는 궁극적으로 ‘인공지능도 사람과 똑같이, 보안의 측면에서 의미가 있는 비밀번호를 스스로 생성할 수 있을까?’를 알아보기 위함이었다고 연구원들은 밝히고 있다. 그 과정에서 강력한 비밀번호를 만드는 규칙이 새롭게 발견될 수도 있다는 부가적인 희망도 있었다.

그래서 위에서 록유 유출 사건으로 공개된 비밀번호 샘플을 ‘맞출 수 있었다’는 실험 결과가 언급되긴 했지만, 사실은 사람이 만든 비밀번호와 똑같은 비밀번호를 47%까지 인공지능이 스스로 만들어낼 수 있었다는 뜻이 된다. 학습시키고 비밀번호를 만들어보라고 과제를 주었더니 사람과 똑같이 47%까지 만들었다는 것이다. “이 말은 패스갠 같은 툴을 해커들이 만들어낸다면, 비밀번호 추측 및 대입 공격이 더 활성화될 수 있다는 것이 됩니다.”

따라서 이 툴의 개발과 발전이 마냥 기대만 되는 것은 아니라고 연구원들 스스로는 말하기도 한다. 사람보다 강력한 비밀번호를 만드는 인공지능이 기대되기도 하지만, 한 편으로는 브루트포스 공격이 전혀 필요치 않은 세상이 올까봐 무섭기도 하다는 것이다. “조직들이 스스로를 비밀번호보다 더 강력한 것으로 보호했으면 합니다. 저희 연구가 그런 흐름을 만들었으면 하는 바람도 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)