초당 40만개의 비밀번호 처리할 수 있는 프로그램 개발

[보안뉴스 호애진] 한 보안 연구원이 클라우드 컴퓨팅을 이용해 WPA-PSK(키 암호문을 사전 공유하는 방식)를 이용하는 무선 네트워크를 크래킹했다고 미국 PC 월드가 10일(현지시각) 보도했다.

PC 월드에 따르면 독일 보안 연구원 토마스 루스(Thomas Roth)는 아마존(Amazon)의 클라우드 컴퓨팅(EC2)에서 작동하는 프로그램을 개발했다. 이 프로그램은 EC2의 대용량 컴퓨팅 능력을 이용, 초당 40만개의 가능한 비밀번호를 처리한다.

현재 EC2는 그래픽 처리 장치(GPU)를 연산 작업에 쓸 수 있게 하고 있어 이러한 처리 개연성이 극히 높아진 것이다. 무엇보다 GPU는 비밀번호 크래킹에 특히 적합하다.

즉 이 방식은 무선 네트워크 기술의 결함을 이용하는 것이 아니다. 루스가 만든 소프트웨어는 단순히 수백 만개의 암호문을 만들어 암호화 한 후 이걸 대상 네트워크에 대입해 로그인이 가능한지 살펴보는 것이다(일종의 무차별 비밀번호 공격, Brutal Password Cracking). 이론상으로 무한한 클라우드 컴퓨팅 자원을 비밀번호 무차별 공격에 쓴다는 점에서 독창적이다.

이와 같이 크래킹을 하기 위해서는 컴퓨터를 구매하는데만 수 만 달러가 든다. 하지만 루스는 일반적인 무선 비밀번호를 EC2로 추측해낼 수 있으며 자신이 만든 소프트웨어로는 약 6분 안에 가능하다고 주장하고 있다.

그는 자신이 사는 지역의 네트워크들을 해킹해 이 사실을 입증했다. 공격에 쓴 EC2 유형 컴퓨터 사용 비용은 분당 28센트이므로 무선 네트워크를 크래킹하는데 1달러 68센트가 든 셈이다.

루스는 “사전 공유 키(WPA-PSK) 시스템을 보안책으로 쓰는 무선 컴퓨팅은 근본적으로 안전하지 않다는 것을 보여 주기 위해 이 프로그램을 개발했다”며 “일반적으로 가정과 소규모 업체에서 쓰고 있는 WPA-PSK 시스템은 안정성은 높지만 복잡한 802 1X 인증 서버 시스템에 투자할 자원이 부족하다”고 지적했다.

한편, 그는 자신이 만든 소프트웨어를 공개할 예정이며 연구 결과를 1월 16일 워싱턴에서 열리는 블랙햇 컨퍼런스에서 발표한다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>