비밀번호 보안에 소홀한 사용자에게는 좋지 않은 소식이다. 해커는 사용자가 무심코 설정한 가장 단순하고 무작위적인 비밀번호를 영화 한 편 보는 시간 안에 알아낼 수 있다. 최근 분석에 따르면, 가장 강력하고 빠른 소비자용 그래픽 카드로 알려진 엔비디아 RTX 5090을 활용해 8자리 숫자 조합 비밀번호를 무차별 대입 공격으로 해킹하는 데 걸리는 시간은 단 3시간에 불과하다.
이 사실은 미국 버지니아주에 본사를 둔 사이버보안 업체 하이브 시스템즈(Hive Systems)의 연구 결과로 밝혀졌다. 이번 연구는 2025년 하이브 시스템즈 비밀번호 테이블(2025 Hive Systems Password Table) 제작을 위한 분석 과정에서 도출됐다. 하이브 시스템즈가 공개한 표에서는 “소비자 수준의(consumer budget)” 해커가 사용하는 소비자용 그래픽 카드만으로도 4자리에서 18자리까지 다양한 길이와 구성(숫자만, 소문자, 대소문자 조합 등)의 비밀번호를 무차별 대입 방식으로 해킹하는 데 소요되는 시간을 확인할 수 있다.
하이브 시스템즈가 말하는 “소비자 수준의 해커”는 RTX 5090 그래픽 카드 12개를 병렬로 동원해 비밀번호를 해독하는 개인 또는 소규모 그룹을 의미한다. 단일 카드만으로도 놀라운 속도를 보여주지만, 여러 기기를 동시에 사용할 경우 해킹 속도는 더욱 빨라진다.
 |
Hive Systems |
현재 대부분의 웹사이트에서는 8자리 비밀번호를 최소 기준으로 제시한다. 그러나 단순한 숫자 조합의 8자리 비밀번호를 사용하는 경우, 해킹 위험성이 매우 높다. 비밀번호의 복잡도를 높이면 해킹에 소요되는 시간이 몇 시간에서 몇 달, 수년, 심지어 수천 년으로 대폭 늘어나긴 한다. 그러나 이 역시 위협에서 완전히 안전하다고 할 수는 없다.
비밀번호를 알아내는 시간은 가상의 해커가 선택한 RTX 5090 모델에 따라 차이는 있지만, 이번 결과는 약 3만 달러(약 4,240만 원) 정도를 투자했을 때 나타나는 결과다.
 |
Hive Systems |
숫자로만 구성된 8자리 비밀번호는 사실상 즉시 해킹당할 수 있으며, 소문자만 무작위로 사용한 경우에도 약 3주 내에 해킹이 가능하다. 만약 단어 사전에 있는 단어나 이미 유출된 비밀번호를 사용했다면, 해킹은 시간문제다.
비밀번호 관리자를 사용하지 않는 사용자 대부분은 비밀번호를 최대한 단순하게 설정하거나, 심지어 동일한 비밀번호를 재사용하는 경향이 있다. 특히 금융 계좌와 연결된 비밀번호를 이런 식으로 설정했다면 심각한 위험에 노출된다. 하이브 시스템즈는 “이렇기 때문에 약 3만 달러의 투자도 금융 계좌 비밀번호를 알아내려는 해커에게는 큰 부담이 되지 않는다”라고 설명했다.
 |
“소비자 수준”의 해커가 사전에 등록된 단어 기반 비밀번호나 이미 유출된 비밀번호를 해독하는 데 걸리는 예상 시간Hive Systems |
12개의 RTX 5090 그래픽 카드가 작업한 결과표를 보며 “도대체 누가 비밀번호를 뚫는 데 수년을 기다리겠어?”라고 생각했는가? 현실은 다를 수 있다. 해커는 전혀 기다릴 필요가 없을 수도 있다. 하이브 시스템즈는 AI에 무차별 대입 공격을 맡길 경우 속도가 얼마나 빨라질 수 있는지도 분석했다. 결과는 결코 긍정적이지 않다.
엔터프라이즈급 하드웨어를 사용하면 상황은 더욱 심각해진다. 하이브 시스템즈에 따르면, 챗GPT-3 학습에 사용된 그래픽 카드로는 소문자만으로 구성된 8자리 비밀번호를 1시간 만에 추측할 수 있다. 챗GPT-4를 학습시킨 하드웨어는 43분이 걸린다. 현재 챗GPT 서비스를 구동하는 하드웨어는 단 30분이면 동일한 비밀번호를 알아낼 수 있다고 분석했다.
더 복잡한 8자리 비밀번호, 즉 숫자, 대소문자, 특수문자가 모두 포함된 조합이라면 챗GPT와 같은 AI 도구가 추측하는 데 약 2개월이 걸린다. 만약 비밀번호가 집요한 해커와 암호화폐 지갑을 사이에 있는 유일한 장벽이라면 상황은 심각해질 수 있다.
하이브 시스템즈도 같은 우려를 제기했다. 만약 해커 한 사람이 엔비디아의 최신 GPU인 5090을 여러 대 동원해 2022년 라스트패스(LastPass) 정보 유출 사건에서 확보한 비밀번호 데이터를 분석한다면, 피해 규모는 상당할 수 있다.
 |
챗GPT 하드웨어의 비밀번호 해독 성능을 시각적으로 비교했다. 상단의 이미지는 챗GPT-3를 학습시킨 하드웨어가 비밀번호를 해독할 경우의 예상 결과를 보여준다. 하단의 이미지는 현재 챗GPT 서비스를 구동하는 하드웨어로 동일 작업을 수행했을 때의 결과를 담고 있다.Hive Systems |
왜 이렇게 빠를까? 당시 라스트패스 정보 유출 사건에서는 비밀번호를 암호화하는 과정에서 해시 반복 횟수(iteration)가 충분히 적용되지 않았다. 반복 횟수가 많을수록 암호화 강도가 높아지지만, 일부 구형 계정의 기본 설정은 5,000회에 불과했다. 이는 당시 권장되던 수십만 회에 한참 못 미치는 수준이었다. 결국, 고성능 하드웨어의 작업량이 크게 줄어드는 결과로 이어졌다.
희소식도 있다
만약 평소 8자리 비밀번호를 사용하는 사람이라면 이번 분석 결과가 다소 충격적일 수 있다. 그러나 더 길고 복잡한 비밀번호를 사용하는 사람이라면 안심할 수 있다. 현재 기준으로 숫자, 대소문자, 특수문자를 모두 포함한 16자리 비밀번호를 사용하다면 소수의 5090 GPU나 챗GPT를 포함한 AI 툴로는 사실상 해독이 불가능하다.
컴퓨팅 성능은 앞으로도 계속 향상될 것이며, 양자컴퓨터의 등장 가능성도 점점 현실로 다가오고 있다. 이에 따라 비밀번호 보안에 대한 기준 역시 변화할 전망이다. 지금부터라도 더 길고 복잡한 무작위 비밀번호를 사용한다면 위험에 대비할 수 있다. 비밀번호 생성과 저장의 어려움은 비밀번호 관리자에 맡기는 것이 좋다. 만약 클라우드에 저장하는 것이 불안하다면, 로컬 기기에 데이터를 저장하는 소프트웨어를 활용하는 방법도 있다.
또한 가능하다면 모든 계정에서 2FA(2factor-authentication)를 활성화하는 것이 좋다. 비밀번호가 해킹 도구에 의해 유출되더라도 2FA가 무단 접근을 막는 추가 방어선 역할을 한다. 특히 유비키(Yubikey)와 같은 하드웨어 키는 피싱 공격에 강하다. 다만, 하드웨어 키가 없더라도 OTP를 생성하는 인증 앱을 사용하는 것이 아무것도 사용하지 않는 것보다 훨씬 낫다.
최선의 방법은 주요 계정 로그인 방식을 패스키로 전환하는 것이다. 패스키는 비밀번호처럼 무차별 대입 공격에 취약하지 않으며, 피싱에도 강하다. 패스키의 유일한 단점은 스마트폰과 같이 패스키를 저장한 기기를 분실할 경우다.
다행히 패스키를 저장하는 방법은 다양해 예비 패스키를 여러 개 만들어 두는 것도 좋은 선택이다. 혹은 매우 길고 복잡하며 무작위로 생성된 비밀번호와 2FA를 계정에 설정한 뒤, 이 정보를 자신이 완벽하게 통제하는 비밀번호 관리자와 2FA 앱에 보관하는 방법도 있다. 이렇게 설정한 이후에는 긴급하게 계정에 접근해야 하는 상황이 아니라면 해당 정보를 건드릴 필요가 없을 것이다.
dl-itworldkorea@foundryco.com
Alaina Yee editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.