브루트 포스 방어 원리와 정보 보안의 역사

고대 로마에서부터 시작된 암호학(Cryptography)

인류의 암호 역사에서 가장 널리 알려진 시초는 기원전 50년경 시저(Julius Caesar)가 사용한 시저 암호(Caesar cipher)입니다. 각 알파벳을 일정한 규칙(예: 3칸씩 뒤로)에 맞추어 밀어서 기록하는 이 단순한 이동 암호는 당시로서는 획기적이었습니다. 하지만 현대의 컴퓨터, 아니 중세 시대의 '빈도 분석법'만으로도 시저 암호는 1분 내에 해독됩니다.

알란 튜링과 에니그마(Enigma)를 무너뜨린 연산력

제2차 세계대전, 독일군이 자랑하던 난공불락의 암호기 '에니그마'는 매일 자정 배열이 바뀌어 약 1,500경(10^16) 번의 경우의 수를 가졌습니다. 사람의 손으로는 평생을 풀어도 불가능했죠. 그러나 천재 수학자 알란 튜링(Alan Turing)이 개발한 '봄브(Bombe)'라는 기계 도구가 바로 이 경우의 수를 물리적인 연산력의 속도로 파회하기 시작했습니다. 이것이 현대 '브루트 포스(Brute Force, 무차별 대입 공격)' 공격의 원시적 형태입니다.

현대 해커들의 무기 작전: Dictionary Attack & Brute Force

현대 보안에서 가장 흔하게 일어나는 공격 양상은 크게 2가지입니다. 첫째, 사람들이 자주 쓰는 단어(love, password, 123456 등)를 모아둔 수억 개의 '사전(Dictionary)'을 만들어 대입하는 사전 대입 공격입니다. 내 비밀번호가 사전에 존재하는 영단어라면, 몇 초 만에 뚫립니다.

둘째, 특수 컴퓨터 장비(수많은 GPU 병렬 연결)를 동원해 'a'부터 'ZZZZZZZZ'까지 모든 문자열을 닥치는 대로 대입하는 무차별 대입 공격(Brute Force)입니다.

"안전한 비밀번호란 기억하기 쉬운 문장 형태가 아니라, 기계조차 계산을 포기하게 만드는 무한의 경우의 수를 내포한 무작위 문자열이다." - 사이버 보안 격언

수학적 우주론: 해커들이 포기하는 임계점

비밀번호의 길이는 연산량을 '기하급수적'으로 뻥튀기시킵니다. 만약 영문 소문자만 쓴다면 8자리 암호는 26^8(약 2천억 개)이지만, 대소문자+특수부호+숫자를 모두 혼용하여 16자리 암호를 만들면 가용 문자열이 94개가 되어 94^16(약 3.7 x 10^31 개)로 팽창합니다.

최신형 슈퍼컴퓨터가 초당 수십조 번의 경우의 수를 연산한다 하더라도, 이 값을 모두 대입하려면 태양이 수명을 다해 적색 거성이 되는 시간보다 긴 수억 년이 걸립니다. 이것이 해커들의 컴퓨팅 파워를 단일 문자열로 무력화시키는 무작위 배열의 수학적 아름다움입니다.