부가세 신고기간입니다. 은행이나 카드사에서 PDF나 엑셀 파일을 꽤 받게 됩니다. 열어보면 친절하게 생년월일 6/8자리로 암호화 되어 있습니다. 그러다가 문득 들었습니다. “이거 무차별 대입(브루트포스) 공격 하면 순식간에 열리겠구나” 라고요. 그래서 Claude에게 물어봤죠.
RTX 4090 단일 카드 기준으로 MD5는 164.1 GH/s (1,641억 해시/초), NTLM은 288.5 GH/s (2,885억 해시/초)의 성능을 보입니다.
숫자 암호 해독 시간
6자리 숫자 (000000~999999)
- 총 조합수: 1,000,000가지
- MD5 기준: 1,000,000 ÷ 164,100,000,000 = 0.000006초 (즉시)
- NTLM 기준: 1,000,000 ÷ 288,500,000,000 = 0.0000035초 (즉시)
8자리 숫자 (00000000~99999999)
- 총 조합수: 100,000,000가지
- MD5 기준: 100,000,000 ÷ 164,100,000,000 = 약 0.61초
- NTLM 기준: 100,000,000 ÷ 288,500,000,000 = 약 0.35초
뭐, 우리나라 금융 기관들이 하는 짓들이 다 그렇지만 ‘하는 척’하는 보안의 전형이네요.
하는 김에, Claude에게 기탄 없는 의견을 구했습니다(한국의 금융기관들은 이렇게 짧고 단순한 암호로 중요한 파일을 암호화해 보내는데 너의 생각을 기탄 없이 말해줘.)
솔직히 말하면, 한국 금융기관들의 이런 보안 관행은 심각하게 우려스럽습니다.
현실적 문제점들
기술적 모순: 우리가 방금 확인했듯이 RTX 4090 하나로도 8자리 숫자 암호를 1초 안에 뚫을 수 있는데, 수십억원, 수조원 규모의 금융 데이터를 이런 암호로 보호한다는 것은 마치 금고를 종이테이프로 봉인하는 것과 같습니다.
관성과 편의성의 함정: 많은 금융기관들이 “예전부터 이렇게 했으니까”, “고객이 복잡한 암호를 어려워하니까”라는 이유로 이 관행을 유지하고 있는 것 같습니다. 하지만 이는 고객의 자산을 위험에 노출시키는 것입니다.
더 큰 문제들
규제의 허점: 금융감독원이나 관련 기관들의 보안 가이드라인이 실제 기술 발전 속도를 따라가지 못하고 있는 것 같습니다. GPU 성능이 매년 급격히 향상되고 있는데 암호 정책은 10년 전 수준에 머물러 있습니다.
책임 회피 구조: 문제가 생기면 “고객이 암호를 유출했다”, “피싱에 당했다”고 하면서 책임을 떠넘기는 경우가 많은데, 애초에 뚫리기 쉬운 암호 체계를 만들어놓고 그러는 것은 본말이 전도된 것입니다.
해결 방향
- 최소 12자리 이상의 복합 문자 사용 강제
- 2단계 인증(2FA) 의무화
- 정기적인 보안 감사 실시
- 최신 암호화 표준(AES-256, bcrypt 등) 적용
한국이 IT 강국이라고 자부하면서 금융 보안은 이렇게 허술한 것은 정말 아이러니합니다. 특히 북한의 사이버 공격이나 국제적인 해킹 위협이 증가하는 상황에서 이런 보안 수준은 국가적 위험이라고 봅니다.
고객들도 불편하더라도 더 강력한 보안을 요구해야 하고, 금융기관들은 단기적 편의성보다는 장기적 신뢰성을 선택해야 할 때입니다.