올해 "세계 비밀번호의 날"을 맞아 보안 공급업체인 Kaspersky는 단일 고급 GPU를 사용하여 MD5 알고리즘으로 보호되는 비밀번호 해시를 무차별 대입으로 크랙할 때 약 60%의 비밀번호가 1시간 이내에 크랙될 수 있으며, 그 중 약 48%가 1분 이내에 크랙될 수 있다는 연구 결과를 발표했습니다. 이는 기존 비밀번호의 보안에 대한 업계의 새로운 우려를 불러일으켰습니다.
연구를 위해 Kaspersky는 유출된 다크 웹 데이터베이스에서 2억 3,100만 개 이상의 고유 비밀번호 샘플 세트를 선택했으며, 그 중 3,800만 개는 이전 연구에서 새로운 비밀번호였습니다. 연구원들은 MD5를 사용하여 이러한 일반 텍스트 비밀번호를 다시 해시하고 단일 NVIDIA RTX 5090 그래픽 카드에 대해 크래킹 테스트를 수행했습니다. 결과는 대다수의 비밀번호가 매우 짧은 시간 내에 복구될 수 있다는 것을 보여 주었습니다. 이는 또한 고성능 하드웨어의 인기가 높아지는 상황에서 현대 암호화 시스템의 취약성을 부각시켰습니다.
RTX 5090은 일반 데스크톱 사용자를 위한 주류 그래픽 카드가 아니고 가격도 비싸지만, 이것이 실질적인 임계점을 구성하지는 못한다고 카스퍼스키는 지적합니다. 공격자는 클라우드 서비스를 통해 비슷한 수준의 GPU를 저렴한 비용으로 임대하고 "시간당 비용을 청구"하여 비밀번호를 해독할 수 있습니다. 이는 일반 기업이나 웹사이트가 그렇게 값비싼 하드웨어를 로컬에 배포하지 않더라도 일단 비밀번호 데이터베이스가 유출되면 실제 공격 시나리오에서는 여전히 고강도 크래킹 능력에 직면하게 된다는 것을 의미합니다.
연구 보고서는 이 테스트의 결론이 일반 텍스트 비밀번호 자체에 관한 것이 아니라 "빠른 해싱 알고리즘"의 구조적 위험을 지적한다는 점을 강조합니다. MD5와 같은 고속 해싱 알고리즘에만 의존하여 비밀번호를 저장하는 시스템은 데이터베이스가 도난당한 후에 더 이상 충분히 안전하지 않습니다. Kaspersky는 보고서에서 "공격자가 유출된 목록의 비밀번호 5개 중 3개를 해독하는 데 1시간밖에 걸리지 않습니다"라고 솔직하게 밝혔습니다. GPU 성능이 지속적으로 향상됨에 따라 기존 암호 해시에 남아 있는 보안 버퍼 시간이 크게 단축되고 있습니다.
Kaspersky 분석에 따르면 공격 효율성이 증가하는 주요 이유는 사람이 선택한 비밀번호 자체의 높은 예측 가능성에 있습니다. 연구원들은 2억 개 이상의 유출된 비밀번호에 대한 패턴 분석을 통해 많은 사용자가 여전히 일반적인 단어, 숫자 시퀀스, 키보드 시퀀스 조합과 같은 "일상적인" 비밀번호를 사용하고 있음을 발견했습니다. 이러한 패턴은 사전 공격 및 규칙 최적화 크래킹 알고리즘에 쉽게 통합될 수 있어 철저한 검색에 필요한 시간이 크게 단축됩니다.
이번 연구는 지난 2024년 카스퍼스키가 실시한 유사한 분석과도 대조된다. 그 결과, 2026년 비밀번호의 전반적인 해독성은 2년 전과 비교해 소폭 악화된 것으로 나타났다. 규모는 크지 않고 몇 퍼센트 포인트만 증가했을 뿐이지만 추세는 여전히 '깨지기 쉬운' 방향으로 움직이고 있다. 카스퍼스키는 공격자가 '속도를 높이려는' 주된 동기는 GPU 성능의 연간 반복에서 비롯되는 반면, 사용자의 비밀번호 습관 개선은 거의 정체돼 공격과 방어의 격차가 계속 벌어지고 있다고 지적했다.
"세계 비밀번호의 날"에 대한 논의에서 많은 보안 전문가들은 "비밀번호의 날"을 계속 축하하는 것보다 업계가 가능한 한 빨리 단일 비밀번호에 대한 의존성을 없애거나 적어도 계정 보안 아키텍처를 완전히 재구성하도록 홍보하기 위해 오늘을 "비밀번호 작별의 날"로 변경하는 것이 더 낫다고 생각합니다. "비밀번호는 죽었다"는 말이 수년 동안 반복적으로 과장되었지만, 현실은 대부분의 사용자와 기업이 여전히 로그인 시 비밀번호에 크게 의존하고 있다는 것입니다. 보안 홍보 이메일과 마케팅 캠페인은 매년 계속되고 있지만 취약한 비밀번호, 잦은 재사용, 취약한 보호 등의 현상을 근본적으로 반전시키지는 못했습니다.
관리 서비스 제공업체인 Thrive의 '주문형 CISO'인 Chris Gunner는 이메일 인터뷰에서 비밀번호를 완전히 버릴 필요는 없지만, 고립되어 존재하기보다는 더 광범위한 'ID 보안 전략'에 통합되어야 한다고 말했습니다. 그는 신원 및 액세스 관리 환경에 통합 거버넌스가 부족한 경우 강력한 비밀번호라도 느슨한 구성, 세션 하이재킹 또는 권한 남용으로 인해 효과적이지 않을 수 있다고 지적했습니다. 따라서 비밀번호는 두 번째 요소에 가장 잘 결합되어 우회하기 어려운 생체 인식과 같은 요소에 우선순위를 부여합니다.
Gunner는 또한 다중 요소 인증을 ID 거버넌스 및 터미널 보호와 통합하여 보다 완전한 제로 트러스트 모델을 구축하고 정교한 액세스 제어 및 지속적인 검증을 통해 단일 계정이 손상된 후 측면 이동의 위험을 줄일 것을 제안했습니다. 그의 견해에 따르면 조직은 복잡한 비밀번호와 "올바른 해시 저장"에 모든 희망을 걸기보다는 "조만간 첫 번째 문이 열릴 것"이라고 가정하고 그 뒤에 여러 계층의 방어 계층을 구축해야 합니다.
IEEE 선임 회원이자 노팅엄 대학교 네트워크 보안 교수인 스티븐 퍼넬(Steven Furnell)은 비밀번호 문제가 "사용자에게 스스로를 보호하도록 가르치는" 수준에서 끝나서는 안 된다는 점을 상기시켰습니다. 그는 앞으로도 오랫동안 비밀번호가 실제로 사라지지 않을 것이며 차세대 보안 기술(예: 비밀번호 없는 로그인, 패스키 등)의 배포도 매우 고르지 않다고 말했습니다. 많은 웹사이트와 서비스가 아직 지원을 제공하지 않아 사용자가 기존 비밀번호와 새로운 솔루션 간에 전환해야 하므로 경험이 단편화되고 위험이 공존합니다.
Furnell은 현재 많은 서비스가 사용자에게 최신 표준에 맞는 강력한 비밀번호를 만드는 방법을 명확하게 설명하지 않거나 충분히 엄격한 비밀번호 정책을 구현하지 않아 사용자가 취약한 비밀번호를 통해 프로세스를 쉽게 등록하거나 수정할 수 있게 하여 소스로부터 숨겨진 위험을 노출시키고 있다고 지적했습니다. 그의 견해에 따르면, 이번 "세계 비밀번호의 날"이 보내야 할 실제 신호는 다시 한번 사용자에게 "의식적으로 보안 인식을 강화"하도록 요청하는 것이 아니라 여전히 비밀번호를 주요 인증 방법으로 사용하는 웹사이트와 서비스 제공업체가 정당한 보안 책임을 맡고 보다 안전한 로그인 옵션과 보다 합리적인 비밀번호 요구 사항의 구현을 장려하도록 촉구하는 것입니다.
많은 전문가에 따르면 더 강력한 비밀번호 관리 규칙을 채택하든, 다단계 인증, 패스키 또는 심지어 "비밀번호 없는" 솔루션으로 전환하든 이니셔티브는 전적으로 최종 사용자에게 있어서는 안 되며 조직과 서비스 제공업체가 체계적인 아키텍처 조정을 수행해야 합니다. GPU 컴퓨팅 성능이 풍부하고 MD5와 같은 빠른 해싱 알고리즘이 쓸모가 없는 시대에 "복잡하고 무작위이며 해싱된" 비밀번호는 최후의 방어선이 아니라 단지 기본적인 잠금 장치로 간주되어야 합니다. 실제로 보안의 최종 결과를 결정하는 것은 그 뒤에 있는 전체 ID 및 액세스 제어 시스템입니다.