'123456', 'abcdef' 등 쉬운 비밀번호가 위험한 이유는 뭘까. 말그대로 외부 해커가 쉽게 알아낼 수 있다는 점이다.

사용자들 입장에서는 회원가입할 때마다 영문 대소문자, 숫자, 기호를 포함한 8자리 이상 비밀번호를 입력하라는 요구가 불편하게 느껴질 수도 있다. 하지만 컴퓨팅 성능이 빠르게 개선되면서 수분 내로 비밀번호를 알아낼 수 있다면 생각이 달라질 것이다.

​최근 외신에 따르면 트러스트웨이브라는 보안회사가 '2014 비즈니스 패스워드 어낼리시스'라는 보고서를 냈다.

​보고서에 따르면 기업을 대상으로 취약점을 점검하기 위해 수천번 가량 모의해킹을 수행한 결과 지난 2년 간 미국 기업들로부터 수집한 해시값으로 보호된 비밀번호 샘플은 62만6천718개다. 주로 샘플을 수집한 곳은 마이크로소프트(MS)가 제공하고 있는 인증관리서비스인 '액티브디렉토리(Active Directory)', 윈도 LAN 매니저(M), NT LAN 매니저(NTML)에 사용된 비밀번호다. 기업 내 임직원들이나 IT관리자들이 주로 사용하는 비밀번호들이 대상이다.

​이 회사 칼 시글러 연구원은 "이 중 절반가량은 수분 내에 알아낼 수 있었다"고 말했다. 이 중 92%인 57만6천533개 비밀번호는 약 한 달만에 대부분 파악이 가능했다고 그는 덧붙였다.

​그 이유는 쉬운 비밀번호를 쓰는 경우가 많았기 때문이다. 이들이 조사한 결과 대상 기업들이 가장 많이 쓰고 있었던 비밀번호는 'Password1'으로 2984건을 기록했다. 'Hello123'(2587건), 'pasword'(2458건), 'welcome1'(1697건) 순으로 뒤를 이었다.

​최근 컴퓨팅 기술발달로 인해 쉬운 비밀번호가 아니더라도 자동화된 툴을 사용하면 이전보다 빠르게 이를 파악할 수 있다. 반면 가장 풀기 어려운 비밀번호는 뜻을 담고 있는 단어들로 이뤄진 긴 길이의 비밀번호를 쓰는 방법이다.

​시글러 연구원은 "만약 공격자가 비밀번호의 길이와 사용되는 문자 유형을 안다고 가정하면 'N^a&$1nG'와 같은 비밀번호는 약 3.75일만에 파악할 수 있다"고 설명했다. 이 경우 AMD R290X GPU를 사용했을 때다. 반면 공격자가 'GoodLuckGuessingThisPassword'라는 비밀번호를 알아내려면 17.74년이 걸린다.

이 회사는 두 개 기기로 비밀번호를 풀어내는 작업을 수행했다. 1천800달러를 들인 인텔 코어i7 프로세서, 16기가바이트(GB) 램, 2개 AMD 라데온 7970 그래픽 카드를 사용한 기기, 2천700달러로 구매한 AMD FX-8320 8코어 프로세서와 16GB 램, 4개 AMD 라데온 7970 그래픽 카드를 사용하는 기기가 그것이다.

​라데온 7970은 NTML의 경우 초당 173억회에 달하는 해시연산기능을 가졌다. 이와 비교해 인텔 코어i7-3770는 초당 2억4천600만 해시연산을 수행한다.

[출처] http://me2.do/Gs8X9hYF