대부분의 패스워드를 1분 이내에 크래킹할 수 있는 AI 「PassGAN」이 등장

사이버 보안 기업인 Home Security Heroes는 신경망에서 암호 예측을 수행하는 AI 「PassGAN」을 사용하여 실제 암호를 분석하는 실험 결과를 발표했습니다. 그에 따르면, 일반적인 패스워드의 약 절반은 1분 이내에, 65%는 1시간 만에 해석할 수 있었다고 합니다.

2023 Password Cracking: How Fast Can AI Crack Passwords?

2023 Password Cracking: How Fast Can AI Crack Passwords?

일반적으로 비밀번호를 분석하는 데 사용되는 비밀번호 추측 방법은, 방대한 데이터를 바탕으로 패스워드 분석을 실시하는 방식으로, 이러한 방법은 소규모로 예측 가능한 패스워드의 경우에는 효율적으로 해석 가능합니다만, 샘플 사이즈가 크고 패턴이 복잡해지면 시간이 걸린다는 것.

이번 Home Security Heroes가 이용한 PassGAN은 적대적 생성 네트워크(GAN)의 1종으로, 「Generative Network」와「Discrimnate Network」라는 2개의 대립하는 신경망으로 구성되어 있습니다. PassGAN은 Generative Network가 가짜 패스워드 샘플을 생성해, 그 가짜 패스워드 샘플과 진짜 패스워드 샘플을 혼합한 것을 Discrimnate Network가 판별하는 시스템으로, 학습을 거듭할 때마다 패스워드의 예측 정밀도가 올라가는 것이 특징. 이를 통해 PassGAN은 기존의 비밀번호 분석 도구에 비해 더 광범위하고 신속한 분석이 가능합니다.

Home Security Heroes의 테스트에서는, 소셜 게임 사이트 RockYou에서 유출된 「RockYou 데이터 세트」로부터 1,568만 건의 패스워드를 인용해, 18 문자 이상 혹은 4 문자 미만의 패스워드를 제외한 뒤, PassGAN으로 해석시켰다는 것.

그 결과, 패스워드의 51%가 불과 1분 이내에 해석할 수 있었고, 1시간 이내에 전체의 65%를, 1일 이내에 71%, 1개월 이내에 81%를 해석해 버렸다고 합니다. 

또, 숫자나 알파벳뿐만이 아니라 기호가 포함되어 있는 경우에서도, 7 문자의 패스워드라면 6분 정도면 해석할 수 있었다고 Home Security Heroes는 보고하고 있습니다.

그리고, Home Security Heroes는 "18자를 넘는 암호는 PassGAN에 대하여 안전하다고 할 수 있습니다"라고 코멘트.

18 문자 이상인 경우, 숫자만으로 구성된 비밀번호라도 해석에는 적어도 10개월이 걸리고, 기호・숫자・알파벳의 소문자와 대문자로 구성된 패스워드의 해독에는 무려 600경 년이 걸린다고 합니다.

패스워드의 문자수와 구성 문자의 종류에 따라서 PassGAN에 의한 해석 시간을 정리한 표는 아래와 같습니다.

Home Security Heroes는 "비밀번호는 최소 15자 이상으로, 대문자, 소문자, 숫자 및 기호를 조합하여 만드는 것이 좋습니다. 또한, PassGAN에 의한 해독을 막기 위해서는, 중요한 패스워드는 수개월마다 변경하는 등의 운용도 유효하다"라고 말하고 있습니다.