이 실험은 사이버 보안 업체 홈 시큐리티 히어로(Home Security Heroes)의 비밀번호 해독기 패스GAN(PassGAN)을 사용해 진행됐다. 고정 데이터셋을 쓰는 일반 비밀번호 해독 도구와는 달리 패스GAN은 2개의 신경 네트워크를 사용한다. 하나는 패스워드를 생성하는 학습, 하나는 그 가짜 패스워드와 실제 유출 데이터에서 가져온 비밀번호의 차이를 구별하는 학습을 진행했다. 훈련이 진행되면서 생성형 어댑티브 네트워크가 더 복잡한 비밀번호 예측을 수행하고 해독은 더 빠르고 광범위해진다.
홈 시큐리티 히어로의 테스트에서 패스GAN은 비밀번호 해독 도구 학습에 자주 쓰이는 데이터셋인 2009년 락유(RockYou) 유출 비밀번호 1,500만 개를 학습했다. 4자 이하, 18자 이상 비밀번호는 제외했다. 예상대로 패스GAN은 소문자로만 구성된, 그리고 문자 변형이 적은 비밀번호를 즉시 해독했다. 약간 더 복잡한 비밀번호도 사정은 다르지 않았다. 가령 11자로 길이가 짧지 않아도 단순하게 구성됐다면 비밀번호는 즉시 해독됐다. 패스GAN은 전체 비밀번호 중 51%를 1분 이내에, 65%를 1시간 이내에, 71%를 하루 이내에, 81%를 1달 이내에 해독했다.
홈 시큐리티 히어로는 이번 연구 결과를 통해 몇 가지 조언을 공개했다. 이미 많은 보안 전문가가 입을 모아 강조하는 것과 다르지 않았다. 비밀번호를 재사용하지 말라는 것, 그리고 해킹 이력이 있는 웹사이트에서는 특히 비밀번호를 자주 바꾸라는 것이다. 마지막은 최소한 15자 이상, 그리고 대소문자, 숫자, 기호 등 2종 이상의 문자를 섞어서 만들라는 것, 그리고 예측 가능한 쉬운 조합을 피하라는 것이다.
홈 시큐리티 히어로는 블로그에서 더 자세한 결과를 설명한다. 가장 중요한 것은 무작위로 만든 비밀번호가 해독 시간에 얼마나 영향을 미치는가다. PCWorld를 비롯한 많은 전문가가 수년 동안 게속 길고 무작위로 구성된 고유 비밀번호를 사용해야 한다고 강조하고 있다. 홈 시큐리티 히어로의 이번 실험도 대문자, 소문자, 숫자를 사용한 18자 비밀번호를 해독하는 데 무려 6경년이 걸린다는 결과를 냈다.
그러나 인공지능 모델의 학습 속도는 빠르다. 18자 길이 비밀번호로 모든 공격을 영원히 막을 수는 없을 것이다. 인공지능을 활용한 생성형 이미지 봇이나 챗봇의 비약적인 성공을 무한 해킹 기술이 AI에 적용된다고 상상해 보라. 보안을 유지하는 유일한 방법은 가장 강력한 비밀번호를 만들어 사용하는 것뿐이며 비밀번호 관리자 앱의 도움을 받아도 좋다. 비밀번호 관리자는 고유한 비밀번호를 무작위로 생성하고, 강도를 강화해야 할 때 자격 증명을 변경할 수도 있다. 비밀번호 유출을 대비해 가능한 한 이중 인증을 활성화하는 것도 잊어서는 안 된다.
editor@itworld.co.kr