|
|
| 적절한 예시[1] |
1. 개요
고무호스 암호분석(Rubber-hose cryptanalysis)이란 암호분석기법 중 하나로, 보안 담당자를 물리적으로 납치 및 고문해서 암호를 알아내는 기법을 의미하며, 해킹 기법 중에서는 가장 강력하고 단순한 공격이다.단어의 유래는 미국 법무부에 재직했던 교수 하워드 W. 콕스가 비공개 회의에서 한 농담이라고 한다. # 다른 것도 아니고 왜 하필 고무호스에 비유했냐면, 물고문을 암시하는 것이기도 하지만 그냥 고무호스로 묶어 놓고 패버리거나 아예 채찍처럼 써먹는 방법으로도 떠올릴 수 있기 때문이다. 이렇듯 고무호스는 이런 분야에서 다양하게 써먹을 수 있기 때문에 가져다 쓴 걸로 추측된다.
이렇듯 유래부터가 농담이니 방법이라든가 실제로 쓰이는 지에 대한 여부는 아무래도 상관 없고, 통신망을 힘들여 뚫거나 서버에 과부하를 주는 등의 수많은 해킹 기법들이, 제대로 성공한 사회공학 한 번이면 순식간에 돈만 날린 뻘짓이 된다는 내용의 자학개그에 주로 쓰이는 단어라고 생각하면 편하다. 아니면 암호분석가가 암호를 알고 있는 사람을 공갈, 협박, 고문 등의 방법으로 암호를 알아내는 방식을 싸잡아 이렇게 부르기도 한다.
각종 미디어에서 묘사되는 해킹이라고 하면 해커가 컴퓨터 앞에 앉아 복잡한 작업창을 조작하며 데이터를 얻어내는 방식을 대표적으로 떠올리지만, 실제 해킹은 이런 방식으로도 이루어지며, 개인정보 유출 같은 피해 사례 역시 후자에 당한 경우가 훨씬 더 많다. 고문까지는 아니더라도, 데이터 접근 권한을 쥐고 있는 사람을 세 치 혀로 구워삶아 중요한 정보를 탈취한다는 개념은 고대 중국의 손자병법에서도 서술되었을만큼 깊은 역사를 지녔고, 그만큼 수많은 변형법이 만들어져 시도된 영역이기 때문이다.
2. 방어법
- 권한 있는 사람을 보호한다. 데드맨 스위치를 사용하여 관리자가 실종될 경우 즉각 암호를 감시한다.
- 권한을 분산시켜 여러 명의 책임자가 가진 각각의 암호를 입력해야 접근할 수 있도록 시스템을 구성한다.
- 관리자가 암호를 자백해도 사용할 수 없도록 일정 시간마다 암호를 변경하고 새로운 암호를 제공한다.
- 평소에 접근하는 특정한 장소가 아닌 다른 곳에서 접근이 이루어지면 암호가 맞더라도 재차 확인한다.
-
관리자에게 납치되었을 경우 자백하는 용도의 암호를 제공해서, 해당 암호가 입력되면 시스템을 봉쇄한다.
납치된 관리자는 어떻게 될까 - 암호를 입력하여 내부에 침입을 허용하더라도 관리자의 임무에 따라 권한을 분리하고 평시와 다른 행동을 할 경우 감시를 강화한다.
- 시스템을 물리적으로 분리하여 암호를 알더라도 물리적으로 침입해야만 시스템에 접근할 수 있도록 한다. 이것을 가장 직관적으로 표현한 사례가 미션 임파서블의 공중부양 암호입력.
- VeraCrypt의 숨겨진 볼륨 같이 암호학적인 방법을 사용해서 기밀 데이터의 존재 자체를 공격자가 인지하지 못하도록 한다.