Data/0306.txt

오늘도 와이트 보드 2 구하는
보안 이야기 강좌 라고 하기까지 너무 껌 하고
그냥 누구나 알아두면 좋을 법한 그런 보안 이야기를 좀 더 알려고 해요
저번에는 범죄예방에 기초해 얘기했어요
제 말도 안되는 법대생 출신의
그치 지식을 살려서 오늘은
흔히 저희가 어깨에서 말하는 뭐 스트롱 1 패스워드 하고 있잖아요 일어
이렇게 이런 패스워드 쓰세요 라고 말하는게 굉장히 많아요
그거에 대해서 사실 진실을 좀 말하려 그래요 지금 제가 하는 얘기는
제 스스로 알아낸 얘기가 아니라 굉장히 영어 이름은 까먹었는데 죄송해요
해외에서 굉장히 유명한 보안 전문가가 있어요 그 보안으로 굉장히 강연도
많이 하고 그 사람의 얘기를 들었는데
이걸 듣고 나서 아 이게 맞구나 라고 처음으로 제대로 앞에 소스에 대해서
이해를 하게 됐어요
그리고 음 똑같은 얘기를 뭐라고 해야될까
아
패스워드 에 대해서 이해를 하는 순간에
여태까지 우리가 쓰고 있던 패스워드 있잖아요 뭐 여기서 뭐 뭐 글자를 몇
개 쓰고 뭐 숫자를 넓게 쓰고 이렇게 패소로 만드세요 라고 하면 아
이러면 나는 안전하게 찌 라고 따라 했는데 사실은 그게 아니라는거 내가
하 쓰고 있는 패스원 자체가 굉장히 안전하지 않다는걸 깨닫게 해주는 그런
계획이 됐어요 그래서 그거에 대해서 오늘 얘기해 보려고 해요
첫째 얘기를 하기 전에 굉장히 중요한 사실을 하나 짚고 넘어갈 필요가
있어요
오늘 얘기하는 패스워드는 내가 어떤 패스워드 를 만들었을 때 어 이거 를
기계로 들어올 수가 없냐
그러니까 영어로는 브루트 포스 라고 해요 기계로
계속 이 패스워드 추측 할 수가 있잖아요 계속 갯수 라고 하죠
그럼 내가 만약에 4 패스워드 가 1234 하엿다
숫자 4개가 들어가는 패스워드 예요 그러면은 실제 이거에 가능한
컴비네이션 은 한자리 당 10개씩 이니까 만개 밖에 없거든요
그럼 한번 을 개수를 하면은 이것은 깨지게 되어 있어요 서평 간의 그래서
그런 개념에서
얘기할게요 그래서 아 제가 브루트 포스 라는 용어 밖에 몰라요 한국말로
정확히 뭔지 모르게 돼서 몰라서
패스워드 를 브루트
포스 로부터
부터
8 스워드 보호하기 란 얘기를 할게 오늘은 패스워드 보게 보호까지 말씀은
알겠지 무슨 얘긴지 제가 글씨를 되게 뭐 써요 보심 알겠지만
그래서 얘기를 하기 전에 한 가지를 짚고 넘어가는게 좋은게 있어요
뭐냐면 과연 현재 존재하는
음 패스가 컴퓨터는 패스워드 1초에 몇개나
개설할 수가 있을까 브루트 포스 할 수 있을까
그러면 보조 앗 어깨가 가능 할지
교체가 지금 쓰던게 있거든요 제가 잠깐만요
어디서 찾아서 싸운 게 있어요 지금 현재 패스워드 를 갯수 할 수 있는
숫자 컴퓨터가
현재 그 투자 물어 봤거든요 강의실에서 애들한테 몇 몇 몇 몇 개나
컴퓨터나 개수를 알 수 있 거야 같애
그러니까 추측을 할수 있을것 같애 1초에 그럴 때 뭐 100만개
1000만개 뭐 이런 얘기가 나왔는데 지금 정확한 숫자를 제가 알고
있거나 는 350
빌리언 해요 빌리언 이 몇 개냐 면은 작으면
밀리언 200만 이고 천만
어 시 먹이 줘 10억개 가까 350 에 10억개 니까 3조 3종
3.5 조개 같아요 내적 영어와 지표에서
350 빌리언 개수를 초당 할 수 있어요
이게 컴퓨터 한데 컴퓨터 한데 에 gpu 25개 달리면 25개 봤지 에
이런 컴퓨터 요즘 만들 수 있거든 요 쉽게 이거 한 천만원 보다 좀더 게
부터 되겠구나
아 1000만 원 정도의 이런 컴퓨터에 사요 그러면 패스워드 란 350
빌리 연계를 개수를 알 수가 있어요
그러면 일단 시작은 여기서 하고 여태까지 저희가 얘기하는 패스워드 를
만드는 방법이 있잖아요 앞에 스워드 는 최소한 이렇게 만드세요 라는것을
한번쯤 검토를 해 볼게요
요즘 보통 뭐라고 하지 가장 흔하게 했던 게 옛날에 이거 했을 거에요
1벌
핀 넘버 라고 해서 숫자 내게 넣는거
숫자 4개 그쵸
뭐 1 2 3 4 뭐 구두 부고 이런식으로 만드는 거죠
그리고 만들었어요 4자리 숫자 그러면 컴퓨터들을 맞춰 볼래요
이렇게 싸는데 0.00 0 0 0 0 1초 굉장히 빨라요
그래서 근데 이제 두 가지 컬러가 보면 좋아요 그래서 뭘 두가지 걸로
몸이 좋아하면
하나는 얼마나 안전한지
어 그리고 두번째는 얼마나 사용하기 편한 재
편히 이 두 가지 관점에서 보면 되게 좋아요
숫자 내게 넣는거 되게 안전하지 못해요
0.00 0 0 0 0 0 1초 있게 해줘요
편히 한번 편하죠 되게 편해요 좋다고 그런 안전하지 못하게 되면 이렇게
좋은 방법을 아니에요
두번째 보통 많이 하는거 아
근데 일반 패스워드 알파 배수로 으
알파벳으로 1 8 불자 해주세요
8자리 정도면 괜찮을 것 같아요
이렇게 하면은 알파벳이 하나가 26개 거든요 근데 대문자 소문자
10051 이해가 되요
그러면 50 이게 8승 잊어
왜냐면 이게 8자리 니까 각 자리마다 52개 가 올 수 있으니까
그러면 가능한 패스워드 조합이 1
어 제가 빌리언 단 있었기 때 빌려 늘 쓸께요
이정도가 해요 빌리 어 그 53,000 빌리언 인데 뭐 아까 이게 한
3.5 주었으니까
뭐 이거는 더 많겠죠 그 무 숫자가 개선해 부채 잘 몰라요 근데 문제는
이 컴퓨터 한대로 이걸 갯수 하기 시작하면 은
이게 151 줄 계셔요 어
그러면 목표로 안전하다 갈 수 없죠 사실은 아야나 안전한 거지 무슨 2분
2.5 분의 깨지는 게 뭐가 안전에
편한거 뭐 나쁘지 않아요 알파벳 뭐 6번 짝 못 해 온 사람이 어디
있겠어
뭐 바보바보 없어도 8개 짠데 그래서 그렇게 했죠
그 다음에 나온 방식이 아예 이건 좀 너무 깨지기 쉬운 것 같으니까 알파
베타 고
넘버 하고 특수문자 까지 내 특수문자가 깔게 어제 그게 중요한 건
아니니까
알파 베타 고 넘버 합쳐서 한 8개 해주세요
그럼 뭐냐면 아까 52 얻자 나요 거기에 숫자 이렇게 더 한거니까 62
에 8성 이에요
그러면 이 숫자가 어떻게 정도 나오네 벌독 나오냐 며 는
1 210
8
이거 첨 부 족 빌리언 정도가 나와요 이정도가
어 굉장히 훌륭하죠 많이 늘었어 환한
뭐야 한 맵의 늘었네
근데 문제는 이 컴퓨터 한대로
여전히 건 600 초에 깨져요
한마디로 10분이면 깨지는 암호 핵
그래서
그렇게 좋지 않죠 안전 하는 것도 그러나 편인은
오히려 내려 같죠 왜냐하면 은 알파벳의 숫자까지 누구 막 특수문자 까지
노래 그러면 이것을 사람들이 많 누 피 시작하면 기억을 못해요
그럼 사람들이 보통 어떻게 한 줄 알아요 되게 일반적인 패턴을 따라 요
그리고 해커들 도 그 일반적인 패턴에 대해서 공격을 해요
보통 어떻게 하냐면 대문자 1 알로에 앞에 대문자로 놓고 그 다음에
소문자를 노 요한
5개 그 다음에 숫자를 하나 놓고 그 다음에 특수문자를 하나요
이게 패턴이 야 이 패턴이 아니면 뒤에 숫자를 세게 놓거나 특수 문자
라페 눕거나 사람들이 제 따라하는 패턴을 패소 듯 입을 거 봤을 때
굉장히 비슷한 패턴들이 많이 나와요
실제 영어 영어에서 존재하는 단어 하나와 숫자를 뒤 하나 붙이고 특수
문자나 붙이는
그러면 이것보다 훨씬 더 빨리 깰 수도 있거든요
왜냐하면 앞의 여섯 글자는 알파벳만 돌리고 나머지 뒤에는 숫자 돌리고
이건 돌리니까
그래서 오히려 이것은 사람들이 p 사용하기 편하지 않기 때문에 오히려
보안성이 도 깨지는 경우가 돼 있어요
그런다고 기억하지 못하는 표 써도 만들어 놓은 다음에 열심히 종이
하셨거나 아니 메일에 복부 태 놓거나 인맥 기름이 다 털리고
그래서 그런 문제가 생겼죠
그래서 그 다음에 나온게 여기까지다 보이겠지 보이는 것 같애
투 섹트 웃으라 이제 이 쇼라고
이것은 간단해요 제가 로그인을 해요 로그인을 하면 은
아 미 가 보니 인지 확인하기 위해
핸드폰이나 뭐 이메일로 인증 코드를 보내주겠다
그러면 그 인증 코드를 받아 갖고 다시 입력하는 로그인 된다
일단 사용성이 되게 되었죠 사용성이 되게 들어요
안전한 야 솔직히 여태까지 했던 것 보다는 훨씬 안전해요
근데 사용성이 들었기 때문에 쪼 애매해 지고 또 하나 재미있는 것은 이런
것들은 여태까지 다 그냥 브루트 폭스를 갯수로 하는거 있잖아요 근데 이
tfl 하게 되면은
누군가 저를 탑 s 로 잡을 경우 가 브루트 섹스를 하고 거기다가 아예
를 누군지 아는데 얘를 뜨고 싶어
그러면 예 전화가 핸드폰 중간에 가르치고 그 텐트를 훔친 나는게 아니라
핸드폰 신호를 가르칠 수가 있어요 사실은 해킹을 제대로 하면
그리고 이메일 드 솔직히 가로채 방법은 있어요
그래서 그 두개를 가르치는 방법 만으로도
이제 이 사람은 뚫을 수 있죠 그러니까 중요한 건 뭐냐면 그게 쉽다는 건
아닌데
누군가의 타겟이 되면은 오히려 이것도 뚫려 요 그렇게 안전하지 않아요
근데 차라리 이런 패스워드 굉장히 힘들면 2까지 금마 600 초에 깨지는
게 아니라 한 오백년 걸려서 깨지는 패스워드 만들 수 있다면 은
그거는 아무리 누군가 저를 타게 될 잡아도 500년이 걸린다는 얘기죠
그래서 오히려 안전성에 측면에서 보면 은 투 세트 와 특색 더 어라이즈
션 보다는 패스워드가 정말 힘든 게 좋은 거 에요
오케이 몇가지 알았어요 그럼 네번째 요즘 나오는거
바이오 매티
이게 뭐냐면 지문
짐은 동공 인식 이런 거예요 이게 굉장히 안전해요
굉장히 안전하고 굉장히 사용하기도 편해요
왜냐하면 누가 찍으면 되니까 질문 찍으면 되니까 얼마나 안전해요
문제는 뭐냐면
이거는 제 생각에는 한 5년 안에 완벽히 준을 것 같아요
그 이유가 뭐냐면 잘 생각을 해봐요
아 동봉해서 탁 스캔하고 지번 왔어 된거 폰트도 어이가 집어넣어 갔어
이거 를 채취한 사람들이 이걸 제대로 보관을 할 것 같아 100%
보관 하는 회사도 있고 보관 못하는 수도 있을 거에요 만약에 그 불과
못하는 회사에서
우리나라 규민 6번 오다 털려 뜻이 동맹 정보 다 빠져나가고 지문 정보
다 빠져나가면 요 밑에 못하잖아요 내내 이거 어떻게 받고 눈에 그 동경
정보를 뭐라 그래 그래 채 낮에 영어로는
한국말로 모르겠는데 이거 어떻게 바꿔요 홍챙 가 홍채인식 일수도 있어
이거 어떻게 맞고요 지금은 어떻게 받고 냈고 못 바꾸자 나요
한번 털리면 평생 털린 거에요 바꿀수가 없어요
그렇기 때문에 언젠가는 5년 10년 안에 털릴 거라고 보고 제가 저번
비디오에서 말했죠
절대 넌 언제나 털린다 고 한 번 털리면 그 다음부턴 이거 뭐 쓰기
때문에 완벽히 버려야 되는 제도 에요
이거는 뭐 지금은 바이오 메트릭 시장이 크고 여기서 돈 버는 회사 드릴
수 있으니까
글루 열심히 하는 것 같지만 결과적으로 오래되면 은 저는 이 건을 사라질
거라고 봐요
한번 털리면 그게 끝이에요 그래서 이것도 미래를 위한 방법은 아니에요
자 여태까지 한 것 중에 과연 우리가 개발자로 써야되는 패스워드는 뭐가
있을까
막 아영 거 잘 쓸려고 하면 복잡해 만들기도 복잡 벅스 기도 어려워 tf
에는 이런 이상한 되묻자 나소 문자나 특수문자 놓았고 여덟 글자로 라니까
이해하기가 힘들어 편의성이 떨어져 사람들이 오히려 이걸 여기저기 적어서
오히려 더 문제가 많이 생겨요
한마디로 방법이 없어요
근데 재미있는 건 을 다 지울게요
아 지우고 생각보다 마지막에 되게 간단한
아주 아주 아주 아주 아주 간단한 방법이 보안을 최대로 높일 수 있는
방법이 있어요
그리고 이거는 누구도 지금 할 수 있고 언제나 날 수 있어요
그 패스워드 예를 보여 드릴께요
자 영어로 쓰긴 할 건데 그냥 문장을 쓰는 거에요
너는 유 아
서치 으
a 미트
터키
뭐 어쩌다 어쩌다 알게된 영어표현이 하는데 너는 그냥 쪼그만 칠면조 자란
일이거든요
이게 글자 쓸어보며 는
아 아 23 그정도 되는것 23 가 있죠
으
여기서 중요한 건 이거예요 이런 영어 문장 1
이어서 치어 원리를 터키 하던가 아니면 그냥 뭐 아무 문제가 잘 다
기억할 수 있는 거 있잖아요
뭐 ia 특별히 빤 않아서 앤 덴 트 ros 이런 식으로 그냥 문자 말썽
하면 사람은 누구나 기억할 수가 있어요
근데 그 문장을 기억을 하면은
언제든 칠 수 있거든요 어디서 건을 필요도 없고
근데 해커의 입장에서
이거를 깨야 한다면
깨 방법이 없어 일단 패턴이 없어요 까 무조건 브루트 포스 로 모든
글자를 깨야 돼요
재미있는 것은 우리가 여기에 들어갈 수 있는게 뭐 지금 뭐랄까 숫자 하고
배송 문자만 들어간다고 보더라도 그게 각 그자리 당 의심이 글자 거든요
근데 여기에
23 성을 해요 왜냐하면 은
어 이상하게 정 이 13승을 해요 왜냐하면 은
23 자리가 있으니까 그럼 이거를 진짜 갯수 하는데 걸리는 그 몇 번을
개수의 하냐면
숫자가 엄청나게 큰데 2 곱하기 10의 39승 이에요
02 39 개가 붙어 엄청나게 큰 숫자 고전은 이 단위가 뭔지도 몰라요
4 여기서 그럼 아까 말했던 이 기계로
그걸 프루트 소스로 깨 보겠다 그러면 그게 얼마나 걸리냐 면
되게 숫자가 역 역시 커요 근데 보자
이게 십 년 266 곱하기 10의 18승 정도가 나와요 근데 이게 어떤
다닐것 같아요
아까 말했듯이 초분 아니에요
이어 이어 년도 까 총 266 곱하기 11 18 승연이 걸려요 이거를
개수 하는데 그래서 아까 전에 우리가 봤던 것들은 대부분 뭐 길어봐야
10분 안에 깨 어떤 거잖아요
그런데 단순히 글자 수를 많게 하고
글자 수 자체 패턴 없애는 것만으로 이게 엄청나게 커질 수가 있는 거에요
왜냐하면 은 각 글자 수 1 가능할 때마다 얘는 뭐라 그러지 익스펜션
하게 증가하지만 d-10 그 여기에 들어 한 글자에 들어가는 종류가 많아
지는 것만 꽃뱀 이기 때문에 결과적으로는 글자 느려서
기하급수적으로 들리는게 훨씬 더 깨기 어려운 빌보가 나오는 거죠 그래서
힐 본 s 장점이 뭐냐
일단 깨기 되기 어려워요 아까 표 있던 거 있죠
보안 되게 좋아요 그리고 기억하기 좋아
때 거 알고 있는 문장 하나 기억하는 거잖아요 되게 좋아요
그래 여기는 패턴 찰 수가 없고 그래서 이 두개가 실제로는 외부에서
이렇게 브루트 포스 하게 패스워드 깨는 어떻게 가장 보호를 할 수 있는
방법이 사실은 이 거예요
아무도 생각하지 못했지만 그 게 사실이죠
그래서 요즘은 이제 잘 아신다고 하는 그런 보안전문가 사람들을 보면
얘기를 점점 해요
그리고 이런 사람들은 맨날 그 구글이나 이런데 패스워드 일대 앞에 대
문자나 놓고 소문자 몇 개 논 다음에 숫자 1
그리고 뭐야 그 특수문자 넣었을 때 아 굉장히 스트롱 1 패스워드 라고
말할 때 호수 물 저요 저도 지금 그런 상태고 그래서 정말 내가 서비스를
제대로 만들려고 한다면 이런 식의 패스워드 를 강제 하는게 가장 안전할
거예요
그러나
이거는 컴퓨터 한대가 될 수 있는 시간이에요
컴퓨터 인데 지금 뭐 st 점포 라던가 그런 영화 아니면 순 오던 일하는
사람을 아시는 분들은 현재 미국 정보부에 얼마나 많은 컴퓨터가 있는지 알
거에요
걔네들이 정말 이걸 깨려고 하면은 충분히 빨리 깰 수 있겠죠 뭐 그 빨리
가 어느 지 모르겠어요 뭐 10의 18승 이언은 굉장히 큰 건데 그런
컴퓨터가 이만큼 있다 예 를 눌러서 대뇌가 그러면 충분히 266 청와대도
깰 수가 있는 거겠죠
아니 그것보다 훨씬 빨리 그런 세계가 올 거고 언젠가는
그럼 그런 경우에 여기서 대비를 어떻게 하느냐
이거는 이것도 생각보다 간단해요 이건 이미 굉장히 많은 사이트에서 하고
있는 일이고
그냥 간단하게 규칙을 정하면 되요
정확히 말하면 이 브루트 포스 가 불가능하다 시스템을 바꾸면 되요
예를 들어서 첫번째 패스워드 가 3번이 틀렸어
3번 틀린 그때 그냥
딜레이를 주면 되요 아 앞으로 10분 동안 알
로그인 금제 5
그러면 어 3번 돌렸는데 싶어도 마셔야 되잖아 그럼 10분마다 갯수 할
수 있는게 생각 밖에 없다는 거에요 사실은
그러면 아무리 컴퓨터가 빨라 봐야 이상 못 하니까 패스가 깰 확률이 훨씬
적어 지는 거죠
아니면 이거는 그냥 일반적인 써비스 에고 이제 한국에서 좀 굉장히 귀찮은
은행들 3번 틀리면 은 아예 와서 30 애고 얼굴 찍고 뭐 보니 인증
하라 그러잖아요 그래서 굉장히 귀찮아지고 저같이 왜 싸는 사람들은
근데 뭐 정말 안전하게 하려면 그것도 말이 되지만
엄밀하게 따져서 패스워드 아까 말한 것처럼 어렵게 말하고 한번 틀렸을 때
10분 뭐냐면 1시간 동안 로그인한 못하게 해도
3번의 5번 드렸을 때 그것만 알아도 충분히 보아는 되거든요
자 이제 제가 볼땐 은행에서 이제 돈이 걸려 있는 문제니까 좀더 일부러
복잡하게 만든 것 같아요
나중에 문제가 생겼을 때 우린 할 거다 했는데 고객 잘못을 털렸다 라고
말하기 위해서 해서 3번 탤런트 싶은 로그인 금지 아니면은
평생 금지 해서
아 본사 방문
이렇게 해서 처리하는 법들이 있어요
뭐 이외에도 이제 여러가지가 있죠 다른 서비스 보면은 3번 틀리면
그때부터 캡쳐 라고 해서
뭐 이렇게 사진 보여주고 그 사진안에 글자 있거나 숫자 있고 이 숫자가
뭔지 스 치세요
아니면은 요즘 구글에서 하는건데
나는 로봇이 아닙니다 이 체크박스를 체크하면 은 이제 로그인 되게 해
주겠습니다
이런건데 엄밀하게 따지면
이미 컴퓨터 비전 이 충분히 발전해서 이런거 충분히 인식 가능 해서 그런
어떤 글자 이제 어떤 문제인지 확인 할 수 있고
이런 체크박스 하는 건 충분히 자동 할 수 있는 거거든요 그래서 이
두가지는 솔직히 얘기하면 은
아 그렇게 대단한 보호 방법은 아니에요
오히려 이 몇 분 로그인 금지가 훨씬 더 안정된 거죠
그래서 우리가 이 대양 개발자다 바쁘지 않아요
뭐 새로운 서비스 만들어야 되는데 보안 100% 다 할 수 없고 이런
이상한 것도 할 수 없고 생각보다 매우 간단한 것만으로도
아 외부의 공격으로부터 막을 수 있는게 있다는 걸 말하고 싶었어요 그리고
뭐 아이 슌 타인이 얘기했지만 뭐 최대한 간단하게 만들라 가 필요한
만큼의 복잡하게 만드는 얘기가 있잖아요
정말 필요한 만큼만 복잡한 방법은 아까 얘기했듯이
뭐 20 글자 이상 패스워드
이거하고
단 사람들이 이해할 수 있게 아무거나 될 수 있게 그리고 두번째가
딜레이를 절하 한 세 번 네 번 실패한 다음엔 딜레이를 적어 를 타면 은
그것만으로도 이미
저희가 생각하는 이 외부로 못해요 공격으로 천 충분히 방어할 수가 있어요
그래서 이 두 가지 단순한 이 두가지를 왜 이렇게 지금 복잡하게 만드는
지 모르겠어요 뭐 보안 회사가 돈을 벌기 위해서 겠지만
외부로부터의 방어는 솔직히 이정도면 은
뭐 나쁘지 않은 사이트가 되는 거죠 예
오늘도 강의가 돼 길어진 것 같으니 여기서 끝나고
다음에 또 기회가 되면 세번째 꺼내 번째 골을 얘기할 수도 있어요 안 할
수도 있고
뽑혔습니다