호주의 비영리 단체 타이드, 연구 끝에 1400만 퍼센트 강력한 방법 개발
비밀번호를 암호화 하고, 암호화한 걸 쪼개고, 쪼갠 걸 블록체인 곳곳에 저장
[보안뉴스 문가용 기자] 암호학 전문가들이 기밀을 보호하기 위해 사용하는 방법은 다양하다. 그 중에는 기밀을 여러 개의 작은 조각으로 나누고, 각 조각을 전부 각각의 안전한 장소에 보관하는 방법도 있다. 그리고 최소한의 수가 충족되어야만 조각난 기밀을 재구축 할 수 있도록 하는 것이다.
[이미지 = iclickart]
최근 호주 시드니에 있는 비영리 단체 타이드(Tide)는 사용자 이름과 비밀번호를 보호하는 데에 있어 이와 같은 원리를 응용해보았다고 한다. 그러고 나서 발표한 결과가 가히 충격적이다. 현대의 비밀 보호 방법보다 1400만 퍼센트 강력하다는 것이다.
타이드는 이 기법을 스플린터링(splintering)이라고 부른다.
1) 인증 시스템 내에서 비밀번호를 암호화 하고,
2) 그 결과물을 작은 조각들로 쪼갠 후,
3) 각 조각을 분산 네트워크에 따로 저장하고
4) 필요할 때 재조합하는 것이라고 한다.
“이렇게 할 경우 브루트포스 공격으로 비밀번호를 추측하는 건 불가능하게 변합니다. 리버스 엔지니어링을 통해서도 조각난 비밀번호를 재조합할 수 없습니다.” 타이드의 주장이다.
타이드는 이 기법의 강력함을 실험하기 위해 과거 침해 사고를 통해 유출된 링크드인 계정 비밀번호 6천만 개를 보호해보았다. “스플린터링을 적용했을 때 사전 공격의 성공 가능성은 기존 100%에서 0.00072%로 줄어들었습니다. 1400만 퍼센트나 강화된 결과죠.” 타이드는 얼마나 자신이 있는지 단 한 개의 사용자 이름과 비밀번호라도 추출하는 데 성공한 해커들에게 보상금을 주겠다고 공표하기도 했다. 현재까지 650만 번의 크래킹 시도가 있었는데, 단 한 명의 해커도 성공하지 못했다.
타이드는 그 동안 타 조직들이 데이터를 더 안전하게 보호하도록 하기 위해 많은 오픈소스 기술들을 고르고 한 데 모아 타이드 프로토콜(Tide Protocol)이라는 걸 개발해 배포하고 있다. 이번에 개발된 스플린터링 기술 역시 이 타이드 프로토콜에 도입됐다.
타이드의 공동 창립자인 유발 헤르초그(Yuval Hertzog)는 “타이드 프로토콜을 사용할 경우 비밀번호들은 암호화 과정을 거친 후 조각으로 나뉘고, 타이드의 공공 블록체인 네트워크 내 20~26개의 노드에 따로 저장된다”고 설명했다. 그리고 특정 조건 하에서만 이 조각들이 재결합될 수 있다.
헤르초그는 사용자가 원하는 암호학적 강력함의 수준에 따라 조각의 수를 결정할 수 있다고 설명한다. “하지만 최소 조각 수는 20개입니다. 그 이상은 사용자 조직이 상황에 맞게 결정하고 자유롭게 설정할 수 있습니다. 조각을 많이 낼수록 안전하겠지만 재조합에 시간이 걸리겠죠.”
이 경우 노드 하나가 어떤 이유에서든 통신 불능 상태가 되면 어떨까? “비밀번호 조각을 저장하고 있는 노드 하나나 그 이상에서 응답이 없을 경우에도, 재결합 조건이 충족된다면 비밀번호를 완전히 재구성할 수 있습니다. 최대 6개 노드가 사용 불가능한 상태여도 비밀번호를 제대로 사용할 수 있습니다.”
그렇다면 수백만~수천만에 달하는 대량의 비밀번호를 관리하는 데 있어 스플린터링은 어떤 효력을 발휘할까? 헤르초그는 “이미 수백만~수천만의 사용자들을 수용할 수 있다는 게 증명된, 향상된 블록체인 기술을 기반으로 하고 있기 때문에 확장성 측면에서도 강력하다”고 설명한다.
타이드의 엔지니어들은 인증 요청 사이사이에 300 밀리세컨드의 딜레이가 발생하도록 아키텍처를 구성했다. 브루트포스와 디도스 공격의 위험성을 낮추기 위함이다. 하지만 헤르초그는 “시중에 널리 사용되고 있는 인증 시스템보다 느리다는 게 체감되지 않을 정도”라고 한다. “오히려 더 빠르다고 느껴질 때도 있습니다.”
현재 이 스플린터링 기법은 상용화까지는 되지 않은 상태다. 하지만 미리 경험해보고 싶은 사람들을 위해 코드와 문서를 깃허브에 공개(https://github.com/tide-foundation/Tide-h4x-for-Privacy)했다. 타이드 오픈 소스 라이선스(Tide Open Source License)를 통해 사용할 수 있다.
3줄 요약
1. 호주의 데이터 보호 분야 비영리 연구 단체 타이드, 새로운 정보 보호 방법 개발.
2. 데이터를 암호화 해서 조각낸 후 블록체인 노드에 분산시켜 저장하는 것.
3. 실험했을 때 기존 인증 방법에 비해 1400만 % 강력했다고 함.
[국제부 문가용 기자(globoan@boannews.com)]
비밀번호를 암호화 하고, 암호화한 걸 쪼개고, 쪼갠 걸 블록체인 곳곳에 저장
[보안뉴스 문가용 기자] 암호학 전문가들이 기밀을 보호하기 위해 사용하는 방법은 다양하다. 그 중에는 기밀을 여러 개의 작은 조각으로 나누고, 각 조각을 전부 각각의 안전한 장소에 보관하는 방법도 있다. 그리고 최소한의 수가 충족되어야만 조각난 기밀을 재구축 할 수 있도록 하는 것이다.
[이미지 = iclickart]
최근 호주 시드니에 있는 비영리 단체 타이드(Tide)는 사용자 이름과 비밀번호를 보호하는 데에 있어 이와 같은 원리를 응용해보았다고 한다. 그러고 나서 발표한 결과가 가히 충격적이다. 현대의 비밀 보호 방법보다 1400만 퍼센트 강력하다는 것이다.
타이드는 이 기법을 스플린터링(splintering)이라고 부른다.
1) 인증 시스템 내에서 비밀번호를 암호화 하고,
2) 그 결과물을 작은 조각들로 쪼갠 후,
3) 각 조각을 분산 네트워크에 따로 저장하고
4) 필요할 때 재조합하는 것이라고 한다.
“이렇게 할 경우 브루트포스 공격으로 비밀번호를 추측하는 건 불가능하게 변합니다. 리버스 엔지니어링을 통해서도 조각난 비밀번호를 재조합할 수 없습니다.” 타이드의 주장이다.
타이드는 이 기법의 강력함을 실험하기 위해 과거 침해 사고를 통해 유출된 링크드인 계정 비밀번호 6천만 개를 보호해보았다. “스플린터링을 적용했을 때 사전 공격의 성공 가능성은 기존 100%에서 0.00072%로 줄어들었습니다. 1400만 퍼센트나 강화된 결과죠.” 타이드는 얼마나 자신이 있는지 단 한 개의 사용자 이름과 비밀번호라도 추출하는 데 성공한 해커들에게 보상금을 주겠다고 공표하기도 했다. 현재까지 650만 번의 크래킹 시도가 있었는데, 단 한 명의 해커도 성공하지 못했다.
타이드는 그 동안 타 조직들이 데이터를 더 안전하게 보호하도록 하기 위해 많은 오픈소스 기술들을 고르고 한 데 모아 타이드 프로토콜(Tide Protocol)이라는 걸 개발해 배포하고 있다. 이번에 개발된 스플린터링 기술 역시 이 타이드 프로토콜에 도입됐다.
타이드의 공동 창립자인 유발 헤르초그(Yuval Hertzog)는 “타이드 프로토콜을 사용할 경우 비밀번호들은 암호화 과정을 거친 후 조각으로 나뉘고, 타이드의 공공 블록체인 네트워크 내 20~26개의 노드에 따로 저장된다”고 설명했다. 그리고 특정 조건 하에서만 이 조각들이 재결합될 수 있다.
헤르초그는 사용자가 원하는 암호학적 강력함의 수준에 따라 조각의 수를 결정할 수 있다고 설명한다. “하지만 최소 조각 수는 20개입니다. 그 이상은 사용자 조직이 상황에 맞게 결정하고 자유롭게 설정할 수 있습니다. 조각을 많이 낼수록 안전하겠지만 재조합에 시간이 걸리겠죠.”
이 경우 노드 하나가 어떤 이유에서든 통신 불능 상태가 되면 어떨까? “비밀번호 조각을 저장하고 있는 노드 하나나 그 이상에서 응답이 없을 경우에도, 재결합 조건이 충족된다면 비밀번호를 완전히 재구성할 수 있습니다. 최대 6개 노드가 사용 불가능한 상태여도 비밀번호를 제대로 사용할 수 있습니다.”
그렇다면 수백만~수천만에 달하는 대량의 비밀번호를 관리하는 데 있어 스플린터링은 어떤 효력을 발휘할까? 헤르초그는 “이미 수백만~수천만의 사용자들을 수용할 수 있다는 게 증명된, 향상된 블록체인 기술을 기반으로 하고 있기 때문에 확장성 측면에서도 강력하다”고 설명한다.
타이드의 엔지니어들은 인증 요청 사이사이에 300 밀리세컨드의 딜레이가 발생하도록 아키텍처를 구성했다. 브루트포스와 디도스 공격의 위험성을 낮추기 위함이다. 하지만 헤르초그는 “시중에 널리 사용되고 있는 인증 시스템보다 느리다는 게 체감되지 않을 정도”라고 한다. “오히려 더 빠르다고 느껴질 때도 있습니다.”
현재 이 스플린터링 기법은 상용화까지는 되지 않은 상태다. 하지만 미리 경험해보고 싶은 사람들을 위해 코드와 문서를 깃허브에 공개(https://github.com/tide-foundation/Tide-h4x-for-Privacy)했다. 타이드 오픈 소스 라이선스(Tide Open Source License)를 통해 사용할 수 있다.
3줄 요약
1. 호주의 데이터 보호 분야 비영리 연구 단체 타이드, 새로운 정보 보호 방법 개발.
2. 데이터를 암호화 해서 조각낸 후 블록체인 노드에 분산시켜 저장하는 것.
3. 실험했을 때 기존 인증 방법에 비해 1400만 % 강력했다고 함.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
