암호는 못 풀어도 사람은 풀린다 – 고무호스 암호 해독법이란?

고무호스 협박..ㄷㄷ..

‘암호 해독’이라고 하면 떠오르는 게 뭘까?
수학 공식, 양자 알고리즘, 정교한 컴퓨터 코드…
그런데 이런 걸 다 무시하고, 사람한테 비밀번호를 말하라고 시키는 방법도 있다.
이걸 고무호스 암호 해독법(Rubber-hose cryptanalysis)이라고 부른다.

고무호스로 때리면 암호가 풀린다?

이 방법은 암호 알고리즘을 분석하지 않는다.
대신, 암호 키를 알고 있는 사람을 옆에 앉혀 놓고 이렇게 묻는다.

"비밀번호가 뭐냐고… 조용히 말해봐."

이렇게 보면 좀 유치해 보일 수도 있다.
하지만 중요한 건, 이 방식이 암호를 깨는 가장 빠른 방법일 수 있다는 점이다.

진짜 문제는 ‘사람’이다

암호 시스템은 아무리 강해도,
그걸 다루는 사람이 무너지면 보안도 같이 무너진다.

암호화 알고리즘은 완벽하더라도,
사용자는 조금이하도 편하게 사용하고자 패스워드를 포스트잇에 써 붙여 놓는다.
누가 협박이라도 한다면 알려줄지도..?

결국 가장 약한 고리는 기술이 아니라 사람일 수 있다.
그래서 고무호스 해독법은 ‘인간’을 뚫는 방식이라고 보면 된다.

그래서 정신보안과 인적보안이 중요하다

보안은 단순히 기술 문제만이 아니다.
사람의 마음가짐, 의식, 그리고 행동이 보안의 첫 번째 방어선이다.
바로 정신보안(Mental Security)과 인적보안(Human Security) 말이다.

정신보안은 사람 스스로가 보안 위협에 대해 경각심을 가지고, 유혹이나 압박에 흔들리지 않는 마음가짐을 뜻한다.

인적보안은 조직이나 개인이 보안 교육, 규칙, 그리고 지원 체계를 갖춰서, 직원이나 구성원이 보안 사고에 휘말리지 않도록 하는 노력이다.

결국 아무리 강력한 암호라도, 이 두 가지가 허술하면 ‘고무호스 해독법’ 앞에 무너질 수밖에 없다.
그래서 보안 설계는 기술뿐 아니라, 사람의 심리와 환경까지 세심하게 고려해야 한다

이걸 막을 수는 없을까?

사람이 무너지지 않도록 보조 장치를 마련할 수는 있다.
예를 들면 이런 것들이다.

1. 이중 인증(MFA) 암호 외에도 다른 확인 수단을 요구한다.
2. 부인 가능한 암호화 들켜도 "이게 다예요"라며 가짜 정보를 보여줄 수 있게 한다.
3. 비밀 분산(Secret Sharing) 한 사람이 전부를 알지 못하도록 분산시킨다.
4. TrueCrypt/VeraCrypt의 Hidden Volume 비밀 공간에 진짜 데이터를 숨겨놓는다. 겉보기엔 아무것도 없어 보인다.

이런 방식들을 잘 활용하면, 고무호스를 들고 와도 쉽게 키를 얻지 못할 수 있다.

웃자고 만든 말, 진지하게 생각해보자

‘고무호스 해독법’은 처음엔 웃긴 이야기처럼 들릴 수 있다.
하지만 정보보안의 본질을 되짚어보게 만든다.

"암호는 깨지지 않는다. 하지만 사람은 깨진다."

이런 점에서 보면, 이 해독법은 현실적이기도 하다.
그래서 진지한 보안 설계에서는 사람의 실수, 두려움, 압박감까지도 고려한다.

끝맺으며

혹시 친구의 휴대폰 잠금을 풀고 싶을 때,
비밀번호를 하나하나 추측할 필요는 없지 않을까?

“야, 그냥 말해줘. 우리 친구잖아.”

이 말 한마디가 진짜 고무호스 해독법이 될 수도 있다.
우리가 기억해야 할 건,
사람의 마음을 지키는 정신보안과 인적보안 없이는
어떤 기술도 완벽하지 않다는 사실이다.