비밀번호 암호화: 작동 방법

비밀번호 암호화: 작동 방법

전 세계 수천 곳의 기업이 Okta를 통해 시간과 비용을 절감하고 있습니다. 아이덴티티가 기업에게 어떤 영향을 미칠 수 있는지 알아보세요.

비밀번호 암호화: 작동 방법

업계 최고의 분석가들이 Okta와 Auth0를 아이덴티티 분야의 리더로 연속 선정하고 있는 이유를 알아보세요.

암호화는 해커가 읽거나 사용할 수 없도록 비밀번호를 스크램블합니다. 이러한 간단한 조치를 통해 서버에 있는 동안 비밀번호를 보호하고, 비밀번호가 인터넷에 확산될 경우 더 많은 보호 기능을 제공할 수 있습니다. 

가장 강력한 비밀번호를 만들었다고 생각해보십시오. 그리고 어렵게 작업한 내용이 회사 서버에 일반 텍스트로 저장되어 있다고 생각해보십시오. 만약 해커가 내부에 침입하면 어떻게 될까요? 모든 노력은 수포로 돌아가고, 여러분의 사용자 이름과 비밀번호가 돈을 받고 공개 시장에서 판매되는 일이 발생합니다. 

이런 문제는 흔히 발생합니다. 예를 들어, 2020년에 보안 담당자들은 보호되지 않은 사용자 이름과 비밀번호가 인터넷 기반의 초인종 시스템에서 중국의 서버로 전송된 사실이 확인되었습니다.

비밀번호 암호화 작동 방법

전문가들은 암호화가 무엇이고 어떻게 작동하는지 설명하기 위해 솔트(salt), SHA-1프라이빗 키 같은 용어를 사용하고 있습니다. 컴퓨터 과학에 대한 배경 지식이 없는 사람들은 특히 이러한 용어에 겁을 먹을 수 있습니다. 

하지만 분명한 것은 비밀번호 암호화가 일련의 스크램블 조치를 통해 원래 단어를 입력하는 방식으로 작동한다는 사실입니다.

암호화는 크게 네 가지 유형이 있습니다.

  1. 대칭 키: 시스템에 암호화/복호화 키가 있습니다. 이 키를 통해 비밀번호를 이동시켜 스크램블을 수행하고, 키를 통해 다시 제자리로 가져다 놓으면 읽기가 가능한 상태가 됩니다. 해커가 비밀번호를 탈취하려면 키를 훔쳐야 합니다.
     
  2. 공개 키: 두 개의 키가 비밀번호를 변경하는 역할을 합니다. 그 하나인 공개 키는 누구든 사용할 수 있고, 다른 하나인 개인 키는 선택된 소수만 사용할 수 있습니다. 한 키를 메시지 인코딩에 사용한 경우, 수신자가 메시지를 이해하려면 다른 한 키가 필요합니다.
     
  3. 해싱: 컴퓨터 알고리즘은 비밀번호를 일련의 무작위 숫자와 문자로 변환합니다. 해커는 사용자가 비밀번호를 변경하는 데 사용한 알고리즘을 알아내야 하는데, 이것이 항상 쉬운 것은 아닙니다.
     
  4. 솔트 방식: 해싱 프로세스를 거치기 전에 비밀번호의 시작 또는 끝에 몇 개의 무작위 숫자 또는 문자가 추가됩니다. 해커는 해시와 해싱 알고리즘을 알고 있어야만 메시지를 해독할 수 있는데, 이것이 항상 쉬운 것은 아닙니다. 관리자는 모든 비밀번호에 대해 동일한 고정 솔트를 사용하거나, 각 비밀번호에 따라 바뀌는 가변 솔트를 사용할 수 있습니다. 

회사에서 암호화를 어떤 방식으로 처리하든 관계 없이 결과는 같습니다. 사용자가 알고 있고 기억할 수 있는 형식에서 완전 무작위 형식로 비밀번호가 변경됩니다.

일반적인 비밀번호 암호화 형식 

비밀번호 안전성을 이해하는 것은 새로운 언어를 배우는 것과 약간 비슷합니다. 비밀번호를 변환하는 몇 가지 툴이 나와 있으며, 툴마다 작동 방식이 약간 다릅니다.

비밀번호가 R@nT4g*Ne! (일반 용어로 Rent Forgone)라고 합시다. 다른 몇몇 암호화 툴을 통해 비밀번호를 전달해 보겠습니다.

  • SHA-1: 비밀번호는 40자로 구성이 되고 명확한 복호화 방법은 없습니다. 보안 비밀번호는 12bf203295c014c580302f4fae101817ec085949입니다.
     
  • SHA-1과 솔트를 함께 사용: 비밀번호는 여전히 40자로 구성이 되지만, "Free"라는 단어가 첨가됩니다. 보안 비밀번호는 bc6b79c7716722cb383321e40f31734bce0c3598입니다.
     
  • MD5: 비밀번호는 128비트 문자열로 인코딩됩니다. 보안 비밀번호는 4e84f7e8ce5ba8cdfe99d4ff41dc2d41입니다.
     
  • AES: 이러한 대칭적 암호화 알고리즘을 사용하면 비트 길이를 선택할 수 있습니다. 이를 선택하기에는 변수가 너무 많고 각각이 결과에 영향을 미치기 때문에 완성된 비밀번호가 어떤 모습일지 모델링하기란 거의 불가능합니다.

끈질긴 해커가 방어선을 뚫고 들어와 파일에 액세스할 수 있습니다. 그러나 이런 방식은 상당한 지연이 야기될 수 있습니다. 비밀번호를 보호하는 데 사용하는 알고리즘을 찾을 수 없을 때 해커는 좌절하게 되고 대신에 다른 목표 대상을 선택하게 됩니다.

비밀번호 암호화만으로는 불충분 

해싱 코드와 솔트를 함께 사용하면 저장된 비밀번호와 전송 중인 비밀번호를 보호할 수 있습니다. 하지만 완벽한 보안을 달성하기 위해서는 조금 더 나아가야 합니다. 실제로 전문가들은 강력한 암호화 정책으로 인해 사각지대가 생길 수 있다고 말합니다. 안전하지 않은데 안전하다고 착각하는 것입니다. 

강력한 비밀번호 정책을 적용해서 다음과 같은 비밀번호를 생성해야 합니다.

  • 고유한 비밀번호. 한 시스템에서 나온 데이터를 다른 시스템에서 사용하지 마십시오. 해커가 한 데이터베이스에 대한 액세스 권한을 얻으면 중복되는 데이터베이스도 위험에 처하게 됩니다.
     
  • 강력한 비밀번호. 숫자에 해당하는 무작위 단어 목록을 만들 것을 전문가들은 권장합니다. 무작위로 새 비밀번호를 정하십시오.
     
  • 기억할 수 있는 비밀번호. 모든 비밀번호의 목록을 작성하거나, 각각의 비밀번호를 저장하는 디지털 솔루션을 구입하십시오. 

유출에 대한 알림을 받으면 즉시 조치를 취합니다. 지연 시간이 길어질수록 해커가 데이터를 훔치거나 시스템을 장악할 수 있는 시간이 늘어납니다.

Okta 전문가의 도움 받기 

Okta는 규모에 관계없이 모든 기업을 위한 권한 인증 보안 시스템을 개발했습니다. 해커가 알아내기 어려운 고급 비밀번호 관리 및 MFA(Multi-Factor Authentication) 솔루션을 통해 정보와 데이터를 보호하고 개인 정보 보호를 준수하고 있습니다.

이러한 솔루션이 어떻게 작동하고, 이를 어떻게 적용할 수 있는지에 대해 자세히 설명드리고 싶습니다. 자세한 내용은 Okta에 문의하십시오.

참고 자료

IoT Stupidity Strikes Again—Victure VD300. (2020년 11월). Electropages. 

SHA-1. dCode. 

MD5 해시 생성기. Dan's Tools. 

AES 암호화 및 복호화 온라인 툴(계산기). Devglan. 

비밀번호 암호화에 사용되는 알고리즘을 알아내는 가장 좋은 방법. Stack Exchange. 

의료 분야의 주요 사이버 보안 과제. (2020년 12월). Healthcare Tech Outlook. 

강력한 비밀번호 생성. (2008년 10월). Surveillance Self-Defense.