기업들이 사용하는 전통적인 비밀번호에 의존하는 보안이 과연 안전할까? 대부문의 보안 전문가들은 이제 더이상 그렇지 않다고 단언한다. 이제는 다중 인증 즉 multi factor authentication, 생체 인식 및 싱글 사인온 기술에 집중해야 한다고 한다. 최근 데이터 유출 사건의 80% 이상이 허술한 비밀번호나 유출된 비밀번호 때문이라는 조사 보고서가 이를 대변해 준다.
그렇다면 비밀번호 해킹 기술은 어떤것이 있을까?
▶첫째, 비밀번호 해시 파일 유출을 통한 비밀번호 해독이다.
비밀번호를 그냥 글자 그대로 기록하거나, 비밀번호 파일에 해시를 설정해 두기도 한다. 전자의 경우 비밀번호 파일이 유출되면 기업의 모든 비밀번호가 한 번에 털리는 불상사가 발상된다. 반면 해시를 설정해 두면 비밀번호를 보호할 수 있다. 정말 그럴까? 해시 비밀번호 파일을 공략하는 공격자들은 간단한 검색 작업을 통해 해시를 해독할 수 있는 레인보우 테이블을 사용한다. 또한 비밀번호 크래킹에 특화된 하드웨어 구매나 아마존, 마이크로스프트와 같은 공중 클라우드 공간을 대여하거나 프로세싱 작업을 위한 봇넷을 제작 하거나 대여하기도 한다.
물론 비밀번호 크래킹 전문가가 아니더라도 얼마든지 아웃소싱을 통해 가능하다. 서비스 자체를 대여하거나 기술적 지원도 함께 제공받을 수 있다고 한다. 이런 일련의 노력? 에 의해 해시 처리된 비밀번호를 푸는 시간이 계속 단축되고 있다. 특히나 컴퓨터가 랜덤으로 생성한 비밀번호가 아닌 인간이 만들어 낸 비밀번호는 그 처리시간이 더욱 짧다고 한다.
▶둘째, 봇넷으로 대규모로 공략
대규모 웹사이트를 공략할 때 공격자들은 봇넷을 이용해 여러 가지 비밀번호와 아이디 조합으로 시도한다. 다른 웹사이트에서 훔친 로그인 정보 리스트 및 사람들이 일반적으로 사용하는 비밀번호 목록을 사용하여 비밀번호를 해독한다. 특히 대규모 사이트의 정보 유출 사건은 범죄자들이 악용할 수 있는 방대한 양의 아이디/패스워드 정보 데이터베이스가 완성된다.
중요한 것은 이러한 정보유출 사건이 발생 되더라도 상당히 많은 사용자들은 기존 비밀번호를 그대로 그것도 상당히 오랜 기간동안 바꾸지 않고 사용한다고 한다.
가장 대표적인 비밀번호 해킹 기술은 위 두가지로 압축된다. 해시 파일을 해독하여 비밀번호를 알아내거나 봇넷으로 대규모 공략을 하는 것이 그것이다.
비밀번호는 만드는 것 보다 유지관리가 중요하다. 수시로 비밀번호를 변경해 주고 기억할 수 있는 한 가장 복잡하게 만드는 것이 공격자로부터 스스로 보호받는 방법이다. 아리러니 한 것은 너무 복합하게 만든 나머지 비밀번호를 자신조차 기억 못하는 경우가 종종 있기는 하다. 그럼에도 불구하고 비밀번호를 복잡하게 생성하고 페이스북, 구글 등과 연계해 SNS 계정으로 로그인 하도록 하는 방법을 통해 최대한 비밀번호 유출을 막아야 할 것이다.
'ICT이야기' 카테고리의 다른 글
| 4차 산업혁명 과 우리 일의 미래 (0) | 2017.12.22 |
|---|---|
| DNS 기본 개념과 구성요소 (0) | 2017.12.08 |
| 차세대 방화벽 조건과 효과 (0) | 2017.11.15 |
| 알파고 제로 는 알파고 진화의 완성일까? (0) | 2017.11.12 |
| USB 쓰기금지 해제 하는 방법 소개 (0) | 2017.11.07 |
