2019.01.24

'이거 실화냐?' 가장 많이 쓰이는 쉬운 암호 12가지

Phil Johnson | CSO
우리는 일상에서 수많은 암호를 사용한다. 좋든 싫든 스마트폰 잠금 해제부터, 은행 계좌에 대한 온라인 접속, 넷플릭스 영화 스트리밍까지 다양한 장소에서 암호를 사용할 수밖에 없다. 컴퓨터와 인터넷 때문에 암호 사용이 크게 확산된 것은 사실이지만, 따지고 보면 수백, 수천 년 전부터 무언가를 보호하기 위해 암호를 사용했었다. 최근 쿼라(Quora) 쓰레드를 참조해, 실제 및 가상의 세계에서 유구하게(또 최근까지) 가장 많이 사용된 10여 개의 암호를 소개한다.
 
ⓒCredit: GettyImages

00000000
냉전 시대, 미국 지하 격납고에 보관된 대륙 간 핵미사일에는 8자리의 발사 코드가 필요했다. 그런데 아주 오랜 기간 00000000이라는 코드가 사용되었다. 미국은 1962년 대통령 명령으로 악의적인 핵미사일 발사 사고를 막기 위해 발사 코드를 강제 요구했다. 오랜 기간 이러한 추가 보안을 적용할 준비가 되지 않은 미사일이 많았지만, 로버트 맥나마라 국방장관의 명령으로 미국에 위치한 대륙 간 탄도 미사일에는 코드가 적용되었다. 그가 장관 자리에서 물러난 후, 맥나마라를 싫어했던 미국 전략 항공 방어 사령관은 미사일을 빨리 발사할 수 없게 될까 걱정해 발사 코드를 모두 0으로 바꾸었다. 이로 인해 발생할 문제는 무엇일까? 영화 닥터 스트레인지러브를 참고하길 바란다.

Open Sesame
‘할아버지’격인 암호는 바로 ‘Open Sesame(열려라 참깨)’이다. 유명한 우화인 알리바바와 40인의 도둑에서 도둑들이 보물을 숨겨둔 동굴 문을 여는 암호문이다. 수 세기에 걸친 아라비아 지역 우화들을 집대성한 천일야화 (아라비안나이트)에 포함된 우화에서, 가난한 나무꾼인 알리바바는 이 암호문을 엿듣고 결국은 보물을 손에 넣는다. 아주 잘 알려진 암호문으로 뽀빠이(Popeye), 벅스 버니(Bugs Bunny), 스펀지밥(SpongeBob) 같은 대중문화에도 자주 등장했다.

Chuck Norris
2010년 익명의 페이스북 엔지니어 한 명은 한 인터뷰에서 직원들이 Chuck Norris를 변형한(문자를 기호와 숫자로 교체) 마스터 암호를 사용해 어떤 페이스북 프로필이든 로그인할 수 있는 때가 있었다고 주장했다. 그녀는 자신도 이 마스터 암호를 사용했으며, 이를 사용해 로그인한 후 다른 사용자의 데이터를 조작해 결국 해고를 당한 직원 2명을 알고 있다고 말했다. 그녀는 이제 이 암호를 사용해 로그인할 수 없지만, 사실 문제가 되지 않는다고 말했다. 합당한 사유만 있다면, 페이스북 직원이 버튼을 한 번만 클릭해도 다른 사용자로 로그인할 수 있는 도구가 이 암호를 대체했기 때문이다.

Swordfish
1932년 마르크스 브라더스의 영화 호스 피더스(Horse Feathers)에서, 그루초 마르크스가 맡은 역할인 와그스태프 교수는 주류 밀매점에 출입하기 위해 ‘Swordfish’라는 암호를 사용했다. 이후 이 암호가 크게 알려지고 (장난으로) 사용되기 시작했다. 아주 오랜 기간, 대중문화에도 자주 등장하는 암호가 되었다. 예를 들어, 스쿠비 두(Scooby Doo), 매드맨(Mad Men), 페치 위드 러프맨(FETCH! with Ruff Ruffman), 해리포터, 스타트랙에 등장했다. 심지어 동명의 이름을 가진 ‘해커’에 관한 영화가 만들어졌고, 코모도어(Commodore) 64 비디오 게임에도 사용되었다.

Buddy
2000년 6월 빌 클린턴 대통령은 주 간, 그리고 대외 상거래에 전자 서명 및 계약을 합법적으로 승인하는 E-SIGN(Electronic Signatures in Global and National Commerce) 법에 서명했다. 그는 법의 취지에 맞게 스마트카드를 사용해 법안에 전자 서명을 했다. 그런데 이 스마트카드 암호화에 키우던 애견의 이름인 Buddy라는 프라이빗 키를 사용했다. 추측하기 쉬운 암호를 사용한 것만 문제가 아니다. 클린턴 대통령은 필라델피아의 법안 서명식에 참석했던 사람들에게 이 암호를 알려줬다. 그렇지만 ‘안전’을 위해, 펜을 이용한 구식 방법으로도 법안에 서명했다.

Joshua
1983년 영화 워게임(WarGames)에서 매튜 브로데릭이 연기한 십대 컴퓨터 ‘도사’인 데이빗 라이트먼(David Lightman)은 게임을 즐기기 위해 (자신이 생각하기에는)컴퓨터 비디오 게임 회사를 해킹한다. 라이트먼은 시스템 백도어 암호가 프로그래머의 죽은 아들 이름인 ‘Joshua’라는 것을 정확히 추측해 낸다. 그런데 라이트먼은 실제 북미 항공우주 방어 사령부(일명 NORAD)의 WOPR(War Operation Plan Response) 컴퓨터를 해킹했다. 그리고 그가 시작한 글로벌 수소핵 전쟁(Global Thermonuclear War)이라는 게임은 3차 세계대전을 촉발할 뻔했다. 이는 허구의 이야기다. WOPR도 존재하지 않는다. 영화를 위해 합판과 애플 II를 이용해 만든 컴퓨터였다.

Tiger
오라클 데이터베이스를 사용한 경험이 있다면, 유명한 Scott 스키마를 잘 알고 있을 것이다. 여기에 접근할 수 있는 암호가 ‘Tiger’이다. 이는 오라클 기능의 기본 개념 일부를 설명하는 데 목적을 둔, 소수 테이블(EMP, DEPT)로 구성된 데모 스키마다. 이 스키마를 만든 사람은 오라클에서 4번째로 높은 직원인 브루스 스콧이다. 그는 자신의 딸이 키우는 고양이 이름인 Tiger를 암호로 정했다. Scott 스키마는 오라클 버전 8까지 기본 설치되어 있었다. 이후 버전 9부터는 수동으로 설치해야 했다. 그러나 많은 새로운 샘플 스키마가 포함되어 있다.

IAcceptTheRisk
1981년 제록스는 스타 8010 워크스테이션을 출시했다. 기업이 이더넷 연결 컴퓨터로 구성된 사무 문서 관리 시스템의 일부로 사용할 수 있는, 초기 알토 프로토타입에 기반을 둔 혁신적인 컴퓨터였다. 이 스타에는 나중에 인기를 얻게 된 많은 인터페이스 개념이 포함되어 있었다. 그래픽 사용자 인터페이스(GUI), 비트맵 스크린, 클릭 가능한 아이콘을 예로 들 수 있다. 스타에서 (시스템 복구 같은)관리 기능을 실행시키기 위해서는, 관리자가 911이라는 코드와 ‘IAcceptTheRisk’라는 암호를 사용해야 했다. 이 암호는 시스템을 더 안전하게 만들고, 임의 서비스 약관으로 제공됐다.

Z1ON0101
2000년 개봉된 매트릭스(The Matrix) 3부작의 2번째인 매트릭스 리로드(The Matrix Reloaded)에서 영화 속 캐릭터인 트리니티(Trinity)는 발전소 컴퓨터 시스템을 해킹한다. 그녀는 진짜 네트워크 매핑 도구인 Nmap를 사용하고, 진짜 SSH 취약점을 공격해, 시스템 루트 암호를 Z1ON0101으로 재설정해서 궁극적으로 시스템을 탈취한다. 이 암호는 Zion을 변형시킨 것이다. Zion은 인간과 기계의 전쟁 후 지구에 유일하게 남은 인간들의 도시 이름이다. 이 장면은 그 정확성 때문에 해커들로부터 높은 평가를 받았다. 또 나머지 세계에서는 7억 4,200만 달러의 흥행 수입을 올릴 정도로 인기를 끌었다.

12345
12345는 몇 가지 이유에서 ‘유명'하다. 첫째, 가장 많이 선택되어 사용되는 암호 중 하나다. 둘째, 이 암호를 사용한 사람 중 한 명이 시리아의 바사르 알아사드 대통령이다. 그는 자신의 이메일 계정에 이 암호를 사용했었다. 그러다 2012년 어나니머스가 이메일 계정을 해킹하면서 이런 사실이 알려졌다. 마지막으로 12345는 멜 브룩스(Mel Brooks)의 클래식 코미디인 스페이스볼 팬들에게 잘 알려져 있다. 드루이디아(Druidia)라는 행성의 항공 방어망 암호기 때문이다. 또 멜 브룩스가 맡은 캐릭터의 가방 자물쇠를 푸는 코드이기도 했다.

Sher
BBC의 시리즈 드라마 셜록(Sherlock)의 두 번째 시즌(벨그라비아의 스캔들, 2012) 첫 번째 에피소드에서, 셜록 홈스는 왕실 일가의 ‘불편한’ 사진이 든 휴대폰의 4자리 암호 코드를 깨려 시도한다. 그는 암호 코드를 푸는 데 성공한다. 자신에게 반한 여성의 휴대폰이었고, 암호 코드는 Sher였다. 그리고 잠금 화면 문구가 "I AM SHER LOCKED"였다. 아주 ‘초보적인’ 암호였다.

Parc
1972년 제록스가 새로 설립한 PARC(Palo Alto Research Center)의 엔지니어들은 MAXC(Multiple Access Xerox Computer)라는 컴퓨터를 만들었다. 이는 DEC PDP-10 타임 셰어링 메인프레임의 ‘복제판’이었다. MAXC는 현대 인터넷의 '조상’ 중 하나인 ARPANET에 연결이 되었다. 게스트는 ARPANET에서 게스트 계정과 parc라는 암호(또는 maxc라는 암호, 정기적으로 교체해 사용)로 MAXC에 로그인할 수 있었다. 제록스 엔지니어들은 정말 똑똑하고 미래를 내다보는 능력을 갖췄지만, ‘창의적’이지는 않았다는 점을 알려주는 사례다. ciokr@idg.co.kr
 



2019.01.24

'이거 실화냐?' 가장 많이 쓰이는 쉬운 암호 12가지

Phil Johnson | CSO
우리는 일상에서 수많은 암호를 사용한다. 좋든 싫든 스마트폰 잠금 해제부터, 은행 계좌에 대한 온라인 접속, 넷플릭스 영화 스트리밍까지 다양한 장소에서 암호를 사용할 수밖에 없다. 컴퓨터와 인터넷 때문에 암호 사용이 크게 확산된 것은 사실이지만, 따지고 보면 수백, 수천 년 전부터 무언가를 보호하기 위해 암호를 사용했었다. 최근 쿼라(Quora) 쓰레드를 참조해, 실제 및 가상의 세계에서 유구하게(또 최근까지) 가장 많이 사용된 10여 개의 암호를 소개한다.
 
ⓒCredit: GettyImages

00000000
냉전 시대, 미국 지하 격납고에 보관된 대륙 간 핵미사일에는 8자리의 발사 코드가 필요했다. 그런데 아주 오랜 기간 00000000이라는 코드가 사용되었다. 미국은 1962년 대통령 명령으로 악의적인 핵미사일 발사 사고를 막기 위해 발사 코드를 강제 요구했다. 오랜 기간 이러한 추가 보안을 적용할 준비가 되지 않은 미사일이 많았지만, 로버트 맥나마라 국방장관의 명령으로 미국에 위치한 대륙 간 탄도 미사일에는 코드가 적용되었다. 그가 장관 자리에서 물러난 후, 맥나마라를 싫어했던 미국 전략 항공 방어 사령관은 미사일을 빨리 발사할 수 없게 될까 걱정해 발사 코드를 모두 0으로 바꾸었다. 이로 인해 발생할 문제는 무엇일까? 영화 닥터 스트레인지러브를 참고하길 바란다.

Open Sesame
‘할아버지’격인 암호는 바로 ‘Open Sesame(열려라 참깨)’이다. 유명한 우화인 알리바바와 40인의 도둑에서 도둑들이 보물을 숨겨둔 동굴 문을 여는 암호문이다. 수 세기에 걸친 아라비아 지역 우화들을 집대성한 천일야화 (아라비안나이트)에 포함된 우화에서, 가난한 나무꾼인 알리바바는 이 암호문을 엿듣고 결국은 보물을 손에 넣는다. 아주 잘 알려진 암호문으로 뽀빠이(Popeye), 벅스 버니(Bugs Bunny), 스펀지밥(SpongeBob) 같은 대중문화에도 자주 등장했다.

Chuck Norris
2010년 익명의 페이스북 엔지니어 한 명은 한 인터뷰에서 직원들이 Chuck Norris를 변형한(문자를 기호와 숫자로 교체) 마스터 암호를 사용해 어떤 페이스북 프로필이든 로그인할 수 있는 때가 있었다고 주장했다. 그녀는 자신도 이 마스터 암호를 사용했으며, 이를 사용해 로그인한 후 다른 사용자의 데이터를 조작해 결국 해고를 당한 직원 2명을 알고 있다고 말했다. 그녀는 이제 이 암호를 사용해 로그인할 수 없지만, 사실 문제가 되지 않는다고 말했다. 합당한 사유만 있다면, 페이스북 직원이 버튼을 한 번만 클릭해도 다른 사용자로 로그인할 수 있는 도구가 이 암호를 대체했기 때문이다.

Swordfish
1932년 마르크스 브라더스의 영화 호스 피더스(Horse Feathers)에서, 그루초 마르크스가 맡은 역할인 와그스태프 교수는 주류 밀매점에 출입하기 위해 ‘Swordfish’라는 암호를 사용했다. 이후 이 암호가 크게 알려지고 (장난으로) 사용되기 시작했다. 아주 오랜 기간, 대중문화에도 자주 등장하는 암호가 되었다. 예를 들어, 스쿠비 두(Scooby Doo), 매드맨(Mad Men), 페치 위드 러프맨(FETCH! with Ruff Ruffman), 해리포터, 스타트랙에 등장했다. 심지어 동명의 이름을 가진 ‘해커’에 관한 영화가 만들어졌고, 코모도어(Commodore) 64 비디오 게임에도 사용되었다.

Buddy
2000년 6월 빌 클린턴 대통령은 주 간, 그리고 대외 상거래에 전자 서명 및 계약을 합법적으로 승인하는 E-SIGN(Electronic Signatures in Global and National Commerce) 법에 서명했다. 그는 법의 취지에 맞게 스마트카드를 사용해 법안에 전자 서명을 했다. 그런데 이 스마트카드 암호화에 키우던 애견의 이름인 Buddy라는 프라이빗 키를 사용했다. 추측하기 쉬운 암호를 사용한 것만 문제가 아니다. 클린턴 대통령은 필라델피아의 법안 서명식에 참석했던 사람들에게 이 암호를 알려줬다. 그렇지만 ‘안전’을 위해, 펜을 이용한 구식 방법으로도 법안에 서명했다.

Joshua
1983년 영화 워게임(WarGames)에서 매튜 브로데릭이 연기한 십대 컴퓨터 ‘도사’인 데이빗 라이트먼(David Lightman)은 게임을 즐기기 위해 (자신이 생각하기에는)컴퓨터 비디오 게임 회사를 해킹한다. 라이트먼은 시스템 백도어 암호가 프로그래머의 죽은 아들 이름인 ‘Joshua’라는 것을 정확히 추측해 낸다. 그런데 라이트먼은 실제 북미 항공우주 방어 사령부(일명 NORAD)의 WOPR(War Operation Plan Response) 컴퓨터를 해킹했다. 그리고 그가 시작한 글로벌 수소핵 전쟁(Global Thermonuclear War)이라는 게임은 3차 세계대전을 촉발할 뻔했다. 이는 허구의 이야기다. WOPR도 존재하지 않는다. 영화를 위해 합판과 애플 II를 이용해 만든 컴퓨터였다.

Tiger
오라클 데이터베이스를 사용한 경험이 있다면, 유명한 Scott 스키마를 잘 알고 있을 것이다. 여기에 접근할 수 있는 암호가 ‘Tiger’이다. 이는 오라클 기능의 기본 개념 일부를 설명하는 데 목적을 둔, 소수 테이블(EMP, DEPT)로 구성된 데모 스키마다. 이 스키마를 만든 사람은 오라클에서 4번째로 높은 직원인 브루스 스콧이다. 그는 자신의 딸이 키우는 고양이 이름인 Tiger를 암호로 정했다. Scott 스키마는 오라클 버전 8까지 기본 설치되어 있었다. 이후 버전 9부터는 수동으로 설치해야 했다. 그러나 많은 새로운 샘플 스키마가 포함되어 있다.

IAcceptTheRisk
1981년 제록스는 스타 8010 워크스테이션을 출시했다. 기업이 이더넷 연결 컴퓨터로 구성된 사무 문서 관리 시스템의 일부로 사용할 수 있는, 초기 알토 프로토타입에 기반을 둔 혁신적인 컴퓨터였다. 이 스타에는 나중에 인기를 얻게 된 많은 인터페이스 개념이 포함되어 있었다. 그래픽 사용자 인터페이스(GUI), 비트맵 스크린, 클릭 가능한 아이콘을 예로 들 수 있다. 스타에서 (시스템 복구 같은)관리 기능을 실행시키기 위해서는, 관리자가 911이라는 코드와 ‘IAcceptTheRisk’라는 암호를 사용해야 했다. 이 암호는 시스템을 더 안전하게 만들고, 임의 서비스 약관으로 제공됐다.

Z1ON0101
2000년 개봉된 매트릭스(The Matrix) 3부작의 2번째인 매트릭스 리로드(The Matrix Reloaded)에서 영화 속 캐릭터인 트리니티(Trinity)는 발전소 컴퓨터 시스템을 해킹한다. 그녀는 진짜 네트워크 매핑 도구인 Nmap를 사용하고, 진짜 SSH 취약점을 공격해, 시스템 루트 암호를 Z1ON0101으로 재설정해서 궁극적으로 시스템을 탈취한다. 이 암호는 Zion을 변형시킨 것이다. Zion은 인간과 기계의 전쟁 후 지구에 유일하게 남은 인간들의 도시 이름이다. 이 장면은 그 정확성 때문에 해커들로부터 높은 평가를 받았다. 또 나머지 세계에서는 7억 4,200만 달러의 흥행 수입을 올릴 정도로 인기를 끌었다.

12345
12345는 몇 가지 이유에서 ‘유명'하다. 첫째, 가장 많이 선택되어 사용되는 암호 중 하나다. 둘째, 이 암호를 사용한 사람 중 한 명이 시리아의 바사르 알아사드 대통령이다. 그는 자신의 이메일 계정에 이 암호를 사용했었다. 그러다 2012년 어나니머스가 이메일 계정을 해킹하면서 이런 사실이 알려졌다. 마지막으로 12345는 멜 브룩스(Mel Brooks)의 클래식 코미디인 스페이스볼 팬들에게 잘 알려져 있다. 드루이디아(Druidia)라는 행성의 항공 방어망 암호기 때문이다. 또 멜 브룩스가 맡은 캐릭터의 가방 자물쇠를 푸는 코드이기도 했다.

Sher
BBC의 시리즈 드라마 셜록(Sherlock)의 두 번째 시즌(벨그라비아의 스캔들, 2012) 첫 번째 에피소드에서, 셜록 홈스는 왕실 일가의 ‘불편한’ 사진이 든 휴대폰의 4자리 암호 코드를 깨려 시도한다. 그는 암호 코드를 푸는 데 성공한다. 자신에게 반한 여성의 휴대폰이었고, 암호 코드는 Sher였다. 그리고 잠금 화면 문구가 "I AM SHER LOCKED"였다. 아주 ‘초보적인’ 암호였다.

Parc
1972년 제록스가 새로 설립한 PARC(Palo Alto Research Center)의 엔지니어들은 MAXC(Multiple Access Xerox Computer)라는 컴퓨터를 만들었다. 이는 DEC PDP-10 타임 셰어링 메인프레임의 ‘복제판’이었다. MAXC는 현대 인터넷의 '조상’ 중 하나인 ARPANET에 연결이 되었다. 게스트는 ARPANET에서 게스트 계정과 parc라는 암호(또는 maxc라는 암호, 정기적으로 교체해 사용)로 MAXC에 로그인할 수 있었다. 제록스 엔지니어들은 정말 똑똑하고 미래를 내다보는 능력을 갖췄지만, ‘창의적’이지는 않았다는 점을 알려주는 사례다. ciokr@idg.co.kr
 

X