사이버 보안에서 hashing이란 무엇인가요?

Hashing은 모든 입력 데이터를 해시 또는 다이제스트라 불리는 고정 길이의 문자열로 변환하는 단방향 프로세스입니다. 암호화와 달리 hashing은 되돌릴 수 없습니다. 데이터 무결성 검증, 비밀번호 안전 저장, 파일 변조 여부 확인 등에 활용됩니다.

Hashing과 암호화(encryption)는 어떻게 다른가요?

Hashing은 단방향의 비가역적 프로세스로, 한번 해싱된 데이터는 원래 형태로 복원할 수 없습니다. 암호화는 양방향으로, 올바른 키를 사용하면 데이터를 복호화할 수 있습니다. Hashing은 비밀번호 저장에 적합하며, 암호화는 나중에 원본 데이터를 복원해야 할 때 사용됩니다.

사이버 보안에서 일반적으로 사용되는 hashing 알고리즘에는 어떤 것이 있나요?

주요 hashing 알고리즘으로는 MD5(현재 취약한 것으로 간주), SHA-1(대부분 더 이상 사용되지 않음), 그리고 여전히 널리 신뢰받는 SHA-2 계열(SHA-256, SHA-512)이 있습니다. 비밀번호 저장의 경우 bcrypt, scrypt, Argon2가 선호되는데, 이 알고리즘들은 의도적으로 연산 속도가 느려 공격자의 무차별 대입 공격(brute-force attack)을 훨씬 어렵게 만들기 때문입니다.

Hashing은 VPN 및 온라인 서비스에서 비밀번호를 어떻게 보호하나요?

서비스는 실제 비밀번호 대신 그 해시값을 저장합니다. 로그인 시 입력한 비밀번호가 해싱되어 저장된 해시값과 비교됩니다. VPN 제공업체는 이 방식을 통해 데이터베이스가 유출되더라도 공격자가 평문 비밀번호가 아닌 해시값만 획득하도록 하여 사용자의 인증 정보를 보호합니다.

Hashing

Hashing: 안전한 통신의 기반이 되는 디지털 지문

개요

Hashing은 마치 고기 분쇄기와 같습니다. 무언가를 넣으면 일관된 결과물이 나오지만, 나온 결과물로부터 원래 내용을 복원하기 위해 거꾸로 되돌아갈 수는 없습니다. 암호학적 관점에서 hashing은 비밀번호, 파일, 메시지 등 어떤 데이터든 수학적 알고리즘을 통해 처리하여 해시 또는 다이제스트라 불리는 고정 길이의 문자열을 생성합니다.

입력값의 크기와 관계없이 출력값의 길이는 항상 동일합니다. 단어 하나든 소설 한 편이든 SHA-256(널리 사용되는 hashing 알고리즘)에 입력하면 항상 64자리 문자열이 반환됩니다.

작동 원리

Hashing은 특정 속성을 갖도록 설계된 알고리즘에 의존합니다.

결정론적(Deterministic): 동일한 입력은 항상 동일한 출력을 생성합니다. "hello"를 입력하면 항상 같은 해시값이 나옵니다.
빠른 연산: 해시 생성은 계산적으로 빠르게 처리됩니다.
눈사태 효과(Avalanche effect): 입력값의 문자 하나만 바꿔도 출력값이 크게 달라지며, 점진적인 변화는 발생하지 않습니다.
역상 저항성(Pre-image resistant): 해시값으로부터 원래 입력값을 역으로 복원할 수 없습니다(이것이 "단방향"인 이유입니다).
충돌 저항성(Collision resistant): 서로 다른 두 입력값이 동일한 해시값을 생성하는 것이 실질적으로 불가능해야 합니다.

주요 hashing 알고리즘으로는 MD5(현재 취약한 것으로 간주), SHA-1(더 이상 사용되지 않음), 그리고 현재 표준인 SHA-256과 SHA-3가 있습니다. VPN 및 보안 시스템은 대부분 SHA-256 이상의 알고리즘을 사용합니다.

Hashing과 암호화(encryption)의 차이를 구분하는 것도 중요합니다. 암호화는 양방향으로, 데이터가 뒤섞인 후 올바른 키로 복호화될 수 있습니다. Hashing은 의도적으로 단방향이며 키를 생성하지 않습니다.

VPN 사용자에게 중요한 이유

Hashing은 VPN 연결이 이루어지는 거의 모든 과정에서 눈에 띄지 않지만 중요한 역할을 담당합니다.

데이터 무결성 검증: VPN 클라이언트가 데이터 패킷을 수신할 때, hashing은 전송 과정에서 데이터가 변조되지 않았음을 확인합니다. 발신자는 데이터를 전송하기 전에 해시를 생성하고, 수신자는 데이터를 받은 후 다시 해시를 생성합니다. 두 해시값이 일치하면 데이터가 손상되지 않은 것이며, 일치하지 않으면 중간자 공격(man-in-the-middle attack) 등의 문제가 발생했을 가능성이 있습니다.

인증: VPN 프로토콜은 클라이언트와 서버 양측의 신원을 확인하는 핸드셰이크 과정에서 hashing을 활용합니다. IKEv2, OpenVPN, WireGuard 등의 프로토콜은 데이터 신뢰성을 보장하기 위해 HMAC(hashing 기반 메시지 인증 코드)을 사용합니다.

비밀번호 저장: 신뢰할 수 있는 VPN 제공업체는 비밀번호를 평문으로 저장하지 않습니다. 대신 비밀번호의 해시값을 저장합니다. 로그인 시 시스템은 입력한 비밀번호를 해싱하여 저장된 해시값과 비교합니다. 실제 비밀번호는 절대 데이터베이스에 저장되지 않으므로 탈취 위험이 없습니다.

완전 순방향 비밀성(Perfect Forward Secrecy): Hashing 함수는 완전 순방향 비밀성을 지원하는 키 파생 과정에 활용되어, 장기 키가 유출되더라도 재생성할 수 없는 고유한 세션 키를 생성합니다.

실제 사용 사례

파일 무결성 확인: VPN 클라이언트를 다운로드할 때 많은 제공업체가 파일의 SHA-256 해시값을 공개합니다. 다운로드한 파일의 해시값이 공개된 값과 일치하는지 확인하면 소프트웨어가 변조되지 않았음을 검증할 수 있습니다.
VPN 터널 내 HMAC: OpenVPN은 HMAC-SHA256 또는 HMAC-SHA512를 사용하여 터널 내 각 데이터 패킷을 인증함으로써, 전송 도중 패킷이 삽입되거나 변조되지 않도록 합니다.
비밀번호 유출 탐지: "Have I Been Pwned"와 같은 서비스는 해시 처리된 비밀번호를 활용하여 실제 비밀번호를 확인하지 않고도 사용자의 인증 정보가 데이터 유출 사고에 포함되었는지 확인할 수 있게 합니다.
디지털 인증서: 인증 기관은 hashing 알고리즘을 사용하여 인증서에 서명하며, VPN은 이를 통해 신뢰할 수 있는 연결을 구축합니다.

Hashing을 이해하면 최신 해시 알고리즘을 사용하는 VPN을 선택하고 설치하는 소프트웨어의 신뢰성을 검증하는 등 더 현명한 보안 결정을 내릴 수 있습니다.

Hashing중급

Hashing: 안전한 통신의 기반이 되는 디지털 지문

개요

작동 원리

VPN 사용자에게 중요한 이유

실제 사용 사례

// FAQ