Home > 전체기사
인공지능도 사람과 같은 수준으로 비밀번호 만들 수 있을까?
  |  입력 : 2017-09-26 17:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
두 가지 딥 뉴럴 네트워크 기술 합한 패스갠 기술
비밀번호로만 지키는 보안, 정말로 종식되어야 할 때


[보안뉴스 문가용 기자] 뉴욕의 스티븐스 공과대학교(Stevens Institute of Technology)와 뉴욕정보기술대학(New York Institute of Technology)이 힘을 합해 ‘비밀번호를 대단히 효율적으로 추측하는 방법’을 고안해냈다. 그들은 딥 러닝과 관련 있는 생산적 적대 신경망(Generative Adversarial Networks, GAN)을 활용했다고 해서 이 툴을 패스갠(PassGAN)이라고 부른다.

[이미지 = iclickart]


이 패스갠 기술은 최신의 규칙 기반 비밀번호 추측 툴인 해시캣(HashCat)이나 존더리퍼(John the Ripper)보다도 향상된 것이며, 실험을 통해 이를 확인할 수 있었다고 연구원들은 주장하고 있다. “총 5,919,936개의 비밀번호들에서 2,774,269개의 비밀번호를 제대로 추측할 수 있었습니다. 성공률이 47%라는 소리입니다. 존더리퍼보다 두 배 가까운 수치이며 해시캣보다도 조금 더 나은 수준입니다. 이 실험은 2010년 록유(RockYou) 정보 유출 사건을 통해 공개된 비밀번호들을 샘플로 삼아 진행됐습니다.”

해시캣과 패스갠을 함께 사용할 경우에는 해시캣만 사용했을 때보다 24%의 비밀번호를 추가로 추측해 맞출 수 있었다고 한다. 연구원 중 한 명인 파올로 가스티(Paolo Gasti)는 “패스갠은 일종의 개념증명으로서, 여태까지 등장한 비밀번호 추측 툴들이 보여준 것보다 훨씬 높은 성과를 내는 게 가능하다는 걸 드러냈습니다.”

GAN이란 인공지능에 주입되는 데이터와 거의 똑같거나 매우 비슷한 데이터를 독립적으로 만들어내는 뉴럴 네트워크(신경망)라고 볼 수 있다. 전문가들은 GAN을 활용해 사람, 동물, 침실 등 실제와 매우 똑같은 이미지를 생성하곤 한다. 이렇게 생성된 이미지는 또 다시 실제와 가짜를 구분해내는 ‘인공지능’을 연마시키기 위해 사용되기도 하며, 인공지능이 만든 가짜 이미지와 진짜 이미지의 차이를 연구해내는 데에도 활용된다.

GAN은 변별적 딥 뉴럴 네트워크(discriminative deep neural network)와 생산적 딥 뉴럴 네트워크(generative deep neural network)로 구성되어 있다. 이 두 가지 종류의 신경망들은 끝없이 상호작용을 하거나 정보를 교환한다. 예를 들면 변별적 딥 뉴럴 네트워크에는 수천, 수만 개의 새(bird) 이미지가 입력된다. 그럼 이 데이터가 생산적 딥 뉴럴 네트워크로 전달되는데, 이 목적은 실제 이미지와 흡사한 이미지를 생성할 수 있도록 생산적 딥 뉴럴 네트워크를 훈련시키기 위함이다.

가스티는 “마치 목격자와 몽타주 작성자와의 관계처럼 서로에게 도움을 준다”고 그 상호작용에 대해 설명한다. “몽타주를 그리는 사람이 먼저 커다란 윤곽 등을 대략적으로 그려나가면 목격자가 자신이 아는 것을 알려주죠. 그리는 사람은 그 정보에 근거해 뭔가를 더하거나 빼거나 하고요. 이 과정을 멈추지 않고 계속해서 진행하면 몽타주가 완성됩니다. 정확한 비유는 아니지만, GAN의 두 신경망이 대략 그런 식으로 작동한다고 볼 수 있습니다.”

가스티와 함께한 연구원들은 “이미지 데이터가 아니라 비밀번호 데이터를 입력하면 어떨까?”하는 데에 생각이 닿았다고 한다. “그렇다면 혹시 실제와 매우 비슷한 비밀번호 데이터셋이 탄생할 수 있지 않을까, 누군가 물었죠. 즉 실제 비밀번호 데이터셋만 학습시킬 수 있다면 우린 인공지능을 통해 실제와 매우 흡사한 비밀번호 샘플을 다량 확보할 수 있게 되는 겁니다. 그래서 실험해본 것이 패스갠입니다.”

이런 실험을 해본 이유는 궁극적으로 ‘인공지능도 사람과 똑같이, 보안의 측면에서 의미가 있는 비밀번호를 스스로 생성할 수 있을까?’를 알아보기 위함이었다고 연구원들은 밝히고 있다. 그 과정에서 강력한 비밀번호를 만드는 규칙이 새롭게 발견될 수도 있다는 부가적인 희망도 있었다.

그래서 위에서 록유 유출 사건으로 공개된 비밀번호 샘플을 ‘맞출 수 있었다’는 실험 결과가 언급되긴 했지만, 사실은 사람이 만든 비밀번호와 똑같은 비밀번호를 47%까지 인공지능이 스스로 만들어낼 수 있었다는 뜻이 된다. 학습시키고 비밀번호를 만들어보라고 과제를 주었더니 사람과 똑같이 47%까지 만들었다는 것이다. “이 말은 패스갠 같은 툴을 해커들이 만들어낸다면, 비밀번호 추측 및 대입 공격이 더 활성화될 수 있다는 것이 됩니다.”

따라서 이 툴의 개발과 발전이 마냥 기대만 되는 것은 아니라고 연구원들 스스로는 말하기도 한다. 사람보다 강력한 비밀번호를 만드는 인공지능이 기대되기도 하지만, 한 편으로는 브루트포스 공격이 전혀 필요치 않은 세상이 올까봐 무섭기도 하다는 것이다. “조직들이 스스로를 비밀번호보다 더 강력한 것으로 보호했으면 합니다. 저희 연구가 그런 흐름을 만들었으면 하는 바람도 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)