사이버 보안 회사 ‘홈 시큐리티 히어로즈’는 AI시스템이 비밀번호를 해독하는 시간을 테스트 했다.

온라인에서 강력한 비밀번호를 사용하라는 경고를 수년 동안 받아왔지만, 모든 사람이 이러한 경고에 귀를 기울이는 것은 아니다.

사이버 보안 회사 ‘홈 시큐리티 히어로즈’는 수백만 개의 실제 비밀번호를 인공지능에 입력해 비밀번호를 해독하는 데 걸리는 시간을 확인했다. 그 결과, AI 시스템은 대부분의 비밀번호를 1분 이내에 해독할 수 있었다.

홈 시큐리티 히어로즈는 PassGAN 비밀번호 생성기로 이 테스트를 진행했다. 대부분의 비밀번호 생성기와 달리 PassGAN은 생성적 적대 네트워크(GAN)를 사용해 실제 비밀번호를 학습하고 새로운 비밀번호를 생성한다.

여기서 GAN은 서로 반대되는 두 개의 신경망, 즉 생성기와 판별기로 구성된다. 생성기 네트워크는 가짜 데이터를 생성하고, 판별기는 가짜 데이터의 홍수 속에서 진짜 데이터를 골라내는 임무를 맡는다. 시간이 지남에 따라 제너레이터와 판별기의 성능이 향상되어 전체 모델이 더욱 효과적이 된다.

이 테스트에서 PassGAN은 락유(RockYou) 데이터 세트에서 15,680,000개의 일반적인 비밀번호를 제공받았다. 락유(RockYou)는 수년 전 해킹된 소셜 위젯으로 수백만 개의 암호화되지 않은 비밀번호가 유출된 바 있다.

이후 락유 시스템은 보안 연구에서 활용되는 데이터 세트가 되었다. 이 테스트에서는 18자 이상, 4자 미만의 비밀번호는 제외되었다. 홈 시큐리티 히어로즈에 따르면 AI는 1분 이내에 51%의 비밀번호를 해독했다. PassGAN은 1시간 이내에 65%의 비밀번호를 해독했으며, 약 하루 만에 71%에 도달했다. 이 수치를 81%까지 끌어올리는 데는 한 달이 더 걸렸다.

불행 중 다행인 소식은 가장 강력한 암호는 여전히 기능적으로 해독이 불가능하다는 것이다. 홈 시큐리티 히어로즈는 숫자와 소문자가 포함된 10자 비밀번호의 경우 테스트한 모든 비밀번호의 65%가 1시간 이내에 해독된다고 보고했다. 하지만 대문자나 특수 문자로 복잡성을 더하면 해독 시간이 약 5년으로 늘어날 것으로 예측했다.

홈 시큐리티 히어로즈의 한 연구원은 “현재 해독 불가능한 그룹에 속하는 비밀번호를 사용하려면, 비밀번호 길이를 15자 이상으로 설정해야 한다. 문자(대문자 및 소문자), 숫자, 특수 문자를 조합해서 사용해야 하며 비밀번호를 자주 변경할 것을 권장한다”고 말했다. 또한 그는 “중요한 비밀번호를 몇 달에 한 번씩 바꾸면 AI가 다른 비밀번호를 알아내기 전에 해독할 수 있는 시간이 없을 것”이라고 덧붙였다.