보안 / 클라우드

클라우드 환경에서의 비밀번호 크래킹

Andreas M. Antonopoulos | Network World 2010.11.25

온디멘드 클라우드 컴퓨팅은 단시간에 일부 컴퓨팅 성능을 필요로 하는 기업에게는 아주 훌륭한 툴이다. 하지만 이러한 기업은 장기적으로 고정 자본을 투자하기를 꺼려한다. 동일한 이유로, 해커에게도 클라우드 컴퓨팅은 매우 유용할 수 있다. 수 많은 해킹 활동은 비밀번호나 키를 크래킹하거나 돈은 많이 들지만 유사한 효과를 내는 다른 방식으로 연결된다.

 

해커에게 온디멘드 컴퓨팅은 두 가지 큰 소스가 된다. 하나는 소비자 PC로 만든 봇넷과 서비스 제공업체의 IaaS(infrastructure-as-a-service)이다. 각각은 무작위 연산(brute-force computation)을 위한 컴퓨팅 온디멘드를 제공할 수 있다. 봇넷은 신뢰성이 없고 이기종이며, "공급"하는데 시간이 걸린다. 하지만, 이들은 사용하는데 비용이 들지 않으며 거대하게 만들 수 있다. 연구원들은 봇넷이 수 많은 PC로 이루어졌다는 것을 발견했다. 상업적인 클라우드 컴퓨팅 제품은 좀 더 빨리 제공하고, 예측 가능한 성능을 제공하며, 훔친 신용카드로 청구할 수 있다.

 

AP561C.JPG공격자가 저비용으로 고성능 컴퓨팅을 할 수 있다고 가정한다면, 보안 제어 장치와 공격 방법의 힘의 균형은 획기적으로 변한다. 예를 들어, 비밀번호를 생각해 보자. 비밀번호의 길이와 복잡함은 무작위 공격(brute force attack)에 필요한 노력에 영향을 미친다. 공격자가 비밀번호 데이터베이스의 “해시” 값에 접근한다고 가정해 보면, 비밀번호 데이터베이스는 취약한 웹 서버 또는 인증 서버를 통해 위태로울 수 있는 데이터베이스이다. 일반적으로 시큐어 해싱 알고리즘(SHA) 등의 알고리즘을 기반으로 한 해시는 반전될 수 없지만, 가능한 모든 비밀번호 값을 시도해서 무차별 대입 공격을 받을 수 있다. 이러한 무작위 연산은 인증 서버에서는 발생하지 않기 때문에, 세 번 시도 실패 시 더 이상 시도를 불가하게 만드는 메커니즘에 영향을 받지 않는다.

 

싱글 코어 CPU의 8자리 비밀번호의 가능한 모든 조합을 시도하는 데에는 아주 오랜 시간이 걸릴 수 있다. 아마도, 알고리즘 또는 비밀번호의 복잡성에 따라 한 달 또는 수 년이 걸릴 수 있다. 하지만, 이 문제는 매우 유사할 수 있다. 검색 공간은 필요한 만큼 많은 “배치”로 침입할 수 있고 동시에 시도하기 위해 수 많은 CPU를 사용할 수 있다. 봇넷 또는 IaaS 클라우드를 사용해서 공격자는 수 년이 걸릴 수 있는 것을 수 분 또는 수 시간 내에 처리할 수 있다.

 

독일의 연구원은 아마존의 Elastic Compute Cloud와 CPU 집약 그래픽을 위해 설계한 새로운 클러스터 컴퓨팅 서비스를 사용하는 테크닉을 설명했다. 그래픽과 비밀번호 크래킹은 알고리즘 관점(행렬과 벡터 연산)에서 매우 유사하다. 이러한 결과는 매우 유익하다. 단일의 클러스터 경우 겨우 49분밖에 걸리지 않았다. 연구원은 최대 6자의 비밀번호를 크래킹할 수 있었다. 이러한 시도에 필요했던 총 비용은 1시간의 컴퓨팅(최소 과금 시간이 1시간)을 위해 투자한 $2.10 뿐이었다.

 

클라우드 컴퓨팅의 등장으로 다른 기술에서와 같이 이러한 새 기술을 악용하는 사람들이 생겨나기 시작했다. 위험과 편리의 균형을 고려할 때 보안 제어에 대한 비용/이익 평가를 생각해 보아야 한다. 모두에게 획기적으로 저렴한 컴퓨팅 비용을 야기하지만, 이는 공격자들에게도 해당되는 말이다. 비밀번호, 무선 암호키, 움직이지 않은 암호 및 구식의 SSL 알고리즘 조차도 이러한 관점에서 반드시 재평가해야 한다. 당신이 생각했던 것은 "실행불가능"은 "일반적인" 해커의 수단을 통해서는 가능할 수 있다. editor@idg.co.kr

Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.