AI는 점점 더 많은 산업에 침투하고 있으며, 우리의 일상에도 침투하고 있습니다. OpenAI의 ChatGPT, 구글 바드 등으로 인해 AI에 대한 이야기를 더 많이 듣게 되었습니다. 웹 사이트 챗봇이나 Google, Apple, Uber와 같은 회사에서 지도 데이터에 대한 의사 결정을 내리는 데 사용되는 AI는 의도적으로 사용하지 않았다면 자신도 모르게 AI와 상호 작용했을 수 있습니다.
한 보안 스타트업이 AI 도구를 사용해 비밀번호를 해독했는데, 이 도구는 놀라울 정도로 빠르게 해독할 수 있습니다. 즉, 비밀번호가 너무 복잡하지 않다면 말입니다. 알아두셔야 할 사항을 알려드립니다.
PassGAN AI란 무엇인가요?
홈 시큐리티 히어로즈 (HSH)의 팀은 비밀번호를 추측하기 위해 비밀번호 생성 적대적 네트워크(또는 PassGAN)라고 하는 일종의 AI 신경망을 사용했습니다. AI를 훈련시키기 위해 게임 사이트인 RockYou에서 유출된 비밀번호로 구성된 데이터 세트를 사용했습니다.
그렇다면 PassGAN AI는 어떻게 작동할까요? “생성 네트워크”가 일상적으로 사람들이 사용할 가능성이 높은 비밀번호를 제시합니다. 그런 다음 “판별 네트워크”가 생성된 비밀번호와 유출된 데이터의 실제 비밀번호를 비교합니다.
판별 네트워크는 생성 네트워크를 효과적으로 훈련시켜 더 나은, 더 정확한 비밀번호를 제시합니다. 이는 사람들이 일반적으로 사용할 수 있는 비밀번호, 즉 현실에서는 그다지 유용하지 않을 수 있는 일반적인 비밀번호에 대한 일종의 부정적 피드백입니다.
PassGAN AI는 얼마나 빨리 비밀번호를 해독할 수 있나요?
홈 시큐리티 히어로 팀이 발견한 것은 4, 5, 6자 길이의 비밀번호는 문자(대문자, 소문자), 숫자, 기호의 조합으로 구성되어 있어도 거의 즉시 AI가 추측할 수 있다는 것입니다.
이 모델에 따르면 대문자와 소문자, 숫자(기호 없음)로 구성된 7자리 비밀번호도 1분 이내에 해독할 수 있었으며, 가장 구조적으로 복잡한 8자리와 9자리 비밀번호는 각각 7시간과 2주 만에 해독할 수 있었습니다. 비밀번호가 이러한 바람직하지 않은 기준과 일치한다면 업그레이드할 때입니다.
이 표는 HSH의 PassGAN 테스트가 비밀번호의 길이와 복잡성에 따라 얼마나 빨리 해독할 수 있는지 보여줍니다.
이미지 출처: 홈 시큐리티 히어로
AI가 비밀번호를 해독하는 것에 대해 걱정해야 할까요?
무섭게 들릴 수도 있지만, 이와 같은 도구는 오래전부터 사용되어 왔으며 비밀번호와 로그인은 여전히 안전하게 유지되고 있습니다. 이는 부분적으로는 암호 해독기, 심지어 스스로 학습하는 AI 암호 해독기조차도 사용 가능한 데이터 세트만큼만 해독할 수 있다는 사실에 기인합니다.
사실 PassGAN에 대해 들어본 것은 이번이 처음이 아닙니다. 2017년 사이언스 저널의 뉴스 사이트인 Science.org 에서는 당시 새로운 암호 해독 방법, 즉 생성적 적대 네트워크를 사용하는 방법에 대해 보도했습니다. 그 후 패스간을 비밀번호 추측 프로그램인 해시캣과 함께 사용했지만 유출된 비밀번호의 27%만 추측할 수 있었는데, 이는 적은 수치는 아니지만 지나치게 우려할 만한 수준도 아니었습니다.
홈 시큐리티 히어로즈 직원들이 특정 비밀번호의 취약성을 정확히 어떻게 측정하는지는 잘 설명되어 있지 않습니다. PassGAN과 같은 AI가 건초더미 같은 비밀번호 속에서 바늘을 찾아낼 수 있는지는 명확하지 않습니다.
PassGAN과 같은 도구가 등장한 지 얼마 되지 않았고 아직까지 우리의 비밀번호를 모두 AI가 알아내지는 못했기 때문에, 비밀번호가 비교적 복잡하다면 적어도 당분간은 AI가 비밀번호를 추측하는 것에 대해 걱정할 필요가 없을 것으로 보입니다.
비밀번호는 얼마나 안전한가요?
HSH를 통해 비밀번호가 얼마나 강력한지 테스트할 수 있습니다. 입력한 테스트 비밀번호는 완전히 비공개이며 저장되지 않는다고 하지만, 그럼에도 불구하고 실제 비밀번호는 큐레이션에 넘겨주는 것이 좋습니다. 비밀번호를 테스트하는 데 사용할 수 있는 다른 도구가 많이 있습니다.
비밀번호와 동일한 논리(여기서는 대문자, 저기서는 기호)를 따르는 유사한 비밀번호를 사용해 생성적 적대적 네트워크형 아키텍처를 기반으로 하는 AI에 대해 비밀번호가 어떻게 견디는지 알아볼 수 있습니다.
그렇다면 PassGAN과 같은 AI에 대해 무엇을 할 수 있을까요? 별다른 방법이 없습니다. 이러한 AI 모델은 이미 존재하고 있으며, 비밀번호 유출 및 데이터 세트 손상 사건이 발생할 때마다 계속해서 더 정교해질 것입니다(반드시 “더 똑똑해지지는 않겠지만”). 가장 강력한 방어책은 매우 강력한 비밀번호입니다. 잊어버리지 않는 강력한 비밀번호를 만드는 방법을 알아야 합니다. 이와 같은 위협으로부터 자신을 보호하는 또 다른 방법은 가능한 한 많은 계정에서 다단계 인증을 사용하는 것입니다.
현재 AI 모델과 AI 모델이 사용할 수 있는 데이터에 따르면, 숫자, 대문자, 소문자, 기호가 포함된 11자 이상의 비밀번호는 해독에 충분히 견딜 수 있는 강력한 비밀번호로 간주됩니다. 그러니 지금부터 시작하세요. 가장 정교한 AI 도구도 오랫동안 추측할 수 있을 만큼 긴 비밀번호를 만드세요.
AI 비밀번호 해독의 다음 단계는 무엇인가요?
정말, 누가 알겠습니까? 인공 지능은 항상 비약적인 발전을 거듭하고 있습니다. 최첨단 기술은 전문가에게 맡기세요. 하지만 동시에 발전하는 기술을 외면하지 마세요. 그리고 현관문을 잠그세요.