강화 학습을 이용한 패스워드 추측 공격

Abstract

다양한 형태의 사용자 인증 방식이 제안되어 왔음에도 불구하고, 텍스트 기반의 패스워드는 여전히 가장 일반적으로 사용되는 사용자 인증 방식이다. 이에 따라 사용자의 패스워드를 추측하기 위한 여러 가지 공격 기법들이 연구되어 왔으나, 기존 기법들은 대부분 사용자의 패스워드가 웹사이트마다 유사할 것이라는 가정 하에 타 사이트에서 유출된 패스워드 집합이나 사용자가 자주 사용하는 패스워드 목록과 같은 통계적 자료를 사용하여 추측 공격을 수행한다. 그러나 타 사이트에서 유출된 패스워드 집합을 이용하는 경우 대상 웹사이트의 패스워드 정책이나 문화적, 언어적 요소 등을 반영할 수 없으며, 통계적 자료 또한 웹사이트 마다 차이가 발생한다. 이에 따라 본 논문에서는 기존 기법들의 한계를 해결하기 위해 강화 학습을 이용하여 패스워드 추측 공격을 수행하는 기법을 제안한다. 제안 기법은 어떠한 가정도 필요로 하지 않으며, 오직 해당 웹사이트에서 수행한 추측 공격의 결과를 실시간으로 반영함으로써 맞춤화된 추측 공격을 수행한다. 뿐만 아니라 추측 공격의 결과를 기반으로 다음에 시도할 패스워드 후보를 선택하기 때문에, 기존의 인공 신경망을 이용한 패스워드 추측 공격 기법과 달리 데이터 훈련 및 모델 생성에 시간이 소요되지 않는다. 실험 결과에 따르면 제안 기법은 기존 무차별 대입 공격과 비교하여 비슷한 효과를 나타냈으며, 이는 강화 학습에서 해결되지 않은 도전 과제인 고갈(exhaustion) 문제가 발생하기 때문이다. 실제로 우리는 실험을 통해 제안 기법이 각 구조마다 존재하는 패스워드 개수를 초과한 이후에도 추측 공격을 계속해서 시도하는 것을 확인하였다.