[Economist] Rough and Tumblr (난투)

Rough and Tumblr*

May 19th 2013, 22:22 by M.G.| SAN FRANCISCO

최근의 한 컨퍼런스에서 야후의 최고 재무 책임자 Ken Goldman은 거대 인터넷 기업 야후의 이용자들이 연령대가 높으며 “다시 쿨해지기”위해 필요한 것을 찾고 있다고 인정했다. 야후의 고위 경영진들은 텀블러가 그들에게 다시 회춘할 수 있는 기회를 주리라 생각한 것으로 보인다. 다양한 미디어 리포트에 따르면 야후는 내일 11억 달러를 이 인기 있는 블로깅 서비스를 위해 지불 한다고 발표할 것이라 한다. 페이스북과 같은 다른 기업들도 텀블러에 관심을 밝혔지만, 야후가 더 좋은 조건을 제시한 것으로 생각된다.

왜 텀블러가 야후의 관심을 끌었는지는 명확하다. 2007년에 시작한 텀블러 서비스는 매우 인기 있고 최근의 패션 팁부터 빵에 머리를 끼우고 있는 고양이들 사진과 같이 모든 것을 공유하고 싶어하는 어린 사용자가 대다수 이다. 텀블러는 빠르게 성장했고 리서치 기업 ComScore에 따르면 매달 1억 1천 7백만 명의 고유 사용자가 방문하고 있다. 텀블러는 총 1억 8백만 개의 블로그와 510억 개의 글을 보유하고 있다.

텀블러의 많은 이용자는 작년 취임한 야후의 사장 Marissa Mayer의 관심을 끌었다. 그녀의 업무는 페이스북이나 구글의 “좋아요” 버튼에 의해 빠르게 잠식 중인 온라인 광고 시장의 점유율을 보이는 야후를 회생시키는 것이었다. 2013년 1/4분기 동안 야후의 매출은 11%가 줄어 11억 달러를 기록했다.

야후를 다시 성장시키기 위해서 그녀는 인기 있는 사진 공유 서비스 플리커와 같은 야후의 오래된 제품들을 새 단장하고, 기업 인수에도 적극적으로 나서고 있다. 예를 들어 3월, 야후는 17살 소년에 의해 설립된 뉴스를 요약해주는 앱을 만드는 기업인 Summly를 3천만 달러에 인수했다. 또한 더 최근에는 프랑스의 비디오 사이트 Dailymotion을 인수하려 추진하다가, 프랑스 정부가 자국의 가장 매력적인 벤처 기업이 미국 기업에 인수 당하는 것을 우려하여 거부하자 물러났다.

이 이야기의 공통점은 Mayer의 야후는 번창하기 위해서 모바일 서비스나 온라인 비디오와 같은 새로운 영역으로 진출할 필요가 있다고 믿는다는 점이다. 야후는 소셜 네트워크나 다른 온라인 공유 서비스에도 눈독 들여왔다. 따라서 텀블러의 인수까지 이어졌다. 문제는 11억 달러라는 엄청난 돈을 작년에 겨우 1천 백만 불의 매출을 올린 것으로 알려진 기업을 위해 지불하는 것이 과연 옳은 것이냐 하는 점이다.

다른 인수들 중에서도, 야후는 기존에 보유한 7억 명의 고유 월 이용자들에게 홍보하여 텀블러를 빠르게 성장 시킬 수 있을 것이라고 주장할 것이다. 또한 그들이 블로깅 서비스가 온라인 광고에서 수익을 낼 수 있도록 지원할 노하우와 자원을 가지고 있다는 점도 지적할 것이다. 그리고 텀블러의 경영진들이 야후의 다른 분야 사업들도 더 소셜하게 만들 수 있도록 도움을 줄 수 있을 것이라는 점도 시사했다.

비판가들 또한 빠르게 광고주들이 그들의 광고가 포르노 컨텐츠가 포함된 수 많은 텀블러의 블로그들 옆에 표시되는 것을 원치 않을 것이라는 점을 지적한다. 또한 텀블러가 가진 매력의 많은 부분은 텀블러의 경영진이 그들의 서비스가 광고로 넘쳐나도록 내버려두지 않았기 때문이었다는 점도 지적한다. 만약 야후가 많은 수의 광고를 노출 시킨다면 사람들은 작당하여 이 서비스를 포기할 수 도 있다.

사실이다. 하지만 만약 야후가 이 인수를 신중하게 관리한다면 이 것이 훌륭한 선택으로 밝혀질 수도 있다. 많은 사람들이 작년 페이스북이 사진 공유 서비스를 10억 달러에 인수 했을 때 대량의 탈출을 예상했다. 하지만 이 소셜 네트워크 서비스는 유저가 이탈하는 일 없이 잘 개발토록 관리되고 있다. 만약 야후가 텀블러의 관리에 비슷한 솜씨를 보이는데 성공한다면, 그들의 주주들에게 더 매력적으로 보이게 될 것이다.

* rough and tumble (난투) 라는 뜻에 대한 언어유희

 

[Economist] Computer Passwords (컴퓨터 암호)

Computer passwords

컴퓨터 패스워드는 기억하기 쉽고 안전해야 한다.
많은 사람들은 기억하지는 쉽지만 안전하지 않은 암호를 이용한다.
연구원들은 양쪽 모두를 이루면서도 쉽게 이를 만들어 낼 수 있도록 노력하고 있다.

Mar 24th 2012 | from the print edition

암호는 컴퓨터 보안 어디에나 존재한다. 이들은 대부분 별로 효과가 없기도 하다. 좋은 암호는 기억하기 쉽고, 또 추측하기 어려워야 한다. 하지만 현실의 사람들은 전자에만 압도적으로 기울어 있는 것으로 보인다. 아내와 남편과 아이들의 이름이 암호로써 인기 있다. 몇몇은 극단적인 단순함을 추구한다. 이코노미스트의 한 전직 부 편집장은 암호로 “z”를 몇 년 동안 사용했다. 또한 해커들이 RockYou라는 소셜 게임 웹사이트에서 3천 2백만 개의 암호를 훔쳐냈을 때, 365,000명이나 되는 1.1%의 웹사이트 이용자들이 “123456” 또는 “12345”라는 암호를 사용했다.

이러한 예측 가능성 덕분에 보안 연구자들이 (그리고 해커들) 침입자들에게는 은혜와도 같은 일반적인 암호 리스트 사전을 만들 수 있었다. 하지만 또한 연구자들은 암호가 안전하지 않다는 것을 알아도, 어떻게 안전하지 않다는 것인지 밝혀내는 것은 어려운 일이었다. 많은 연구들은 다룰 수 있는 샘플이 오직 몇 천 정도에 불과했다. RockYou와 같은 해킹 된 웹사이트들은 더 많은 암호들을 제공해주었지만 해킹된 정보를 이용한다는 윤리적인 문제가 있었고, 이용 가능할지 예측 불가능했다.

하지만 5월 뉴욕의 전문 기관, Institute of Electrical and Electronics의 도움 하에 한 보안 컨퍼런스에서 소개된 논문에서 실마리를 보였다. 거대 인터넷 기업 Yahoo! 와의 협력으로 캠브리지 대학의 Joseph Bonneau는 7천만 개나 되는 지금까지 가장 큰  규모의 샘플과 함께 익명의 암호 주인에 대한 유용한 인구학적 데이터를 얻었다.

Bonneau는 흥미로운 차이들을 찾아냈다. 나이든 사람들은 젊은 사람보다 더 나은 암호를 사용한다. (기술에 빠삭한 젊은이들은 차지하고) 한국어나 독일어를 말하는 사람들이 가장 안전한 암호를 사용한다. 그 반대는 인도네시아 어를 쓰는 사람들이다. 신용카드 정보와 같은 민감한 정보를 위해 만든 암호는 게임 로그인과 같은 덜 중요한 곳에 쓰이는 암호보다 아주 조금 더 안전할 뿐이다. 사용자가 취약한 암호를 이용하고 있다는 “경고 화면”은 사실상 별로 쓸모가 없다. 또한 과거에 해킹된 경험이 있는 사용자라도 해킹된 경험이 없는 사용자에 비해 훨씬 더 강력한 암호를 사용하지도 않는다.

하지만 이런 샘플에 대한 폭 넓은 분석은 보안 연구자들에게는 가장 큰 관심 대상이다. 편차가 있지만, 일반적인 암호 사전은 전체 샘플 이나 혹은 어떤 인구학적으로 추출된 데이터에 대해서도 효과가 있어 7천만 이용자들에 대한 암호는 충분히 예측 가능했다. Bonneau는 직설적으로 “계정 당 10개의 추측을 할 수 있는 공격자라면  약 1% 계정에 대한 암호를 알아낼 수 있다.”라고 말했다. 그리고 이것은 해커의 관점에서는 시도해 볼만한 결과이다.

확실한 해결 방법 하나는 현금 입출금기가 그러하듯 사이트 들에서 계정이 차단되기 전에 할 수 있는 추측 입력의 수를 제한하는 것이다. 비록 거대 사이트인 구글이나 마이크로소프트 등에서 이러한 방법을 이용하고 있지만 (혹은 더 강력한), 상당수가 그렇지 못하다. 2010년, Bonneau와 그의 동료 Soren Preibusch가 150개의 샘플 거대 웹사이트를 조사한 결과 126개가 이러한 추측 제한을 이용하지 않고 있었다.

어떻게 이런 상황이 될 수 있는지 이해하기 어렵다. 몇몇 사이트에서는 이러한 느슨함이 합리적일 수도 있다. 왜냐하면 이 암호가 신용카드 정보와 같은 특별히 가치 있는 것을 보호하고 있지 않기 때문이다. 하지만, 허술한 암호 관리는 사람들이 많은 경우 같은 암호를 다른 여러 곳에서도 이용하고 있기 때문에 보안이 좋은 사이트에도 위협이 될 수 있다.

하나의 해석은 느슨한 암호 보안이 인터넷의 순진한 어린 시절의 문화적인 유물이라는 것이다. 학술적인 연구 네트워크였던 인터넷이 해커를 염려할 이유는 별로 없었다. 또 하나의 가능성은 많은 웹 사이트들이 재정난에 처한 스타트업으로부터 출발했기 때문에 별도의 암호 보안을 구현하는데 가치 있는 프로그래밍 시간을 투자 해야 하고, 따라서 초기 단계에서는 이를 생략한 후 더 이상 변경하려 신경 쓰지 않았다는 것이다. 하지만 이유야 어찌되었든, 웹 사이트를 서둘러 만들고자 했던 사람들이 전통적인 암호의 대안을 고려하여 함께 행동에 나서는 것이 맞다.

Skysail dactyl gimcrack golem

이러한 것의 하나가 Passpharases라 불리는 복수 단어 암호이다. 하나의 단어 대신에 여러 개를 이용하는 것은 공격자가 더 많은 글자를 추측하게 하고 결과적으로 더 안전하다. 하지만 선택된 구가 친숙한 용법으로 사전에 나타나지 않은 것이라야 한다.

Monneau와 그의 동료 Ekaterina Shutova는 2009년 10월부터 2012년 2월까지 미국 이용자들에게 복수 단어 암호를 이용하도록 허용한 온라인 리테일러 아마존의 실제 passphrase 시스템을 분석해왔다. 비록 암호보다 passpharase가 더 나은 보안을 제공하지만, 꿈꿔왔던 만큼은 아니었다는 사실을 알아냈다. 4개에서 5개의 임의로 선택된 단어로 이루어진 구는 상당히 안전하다. (예를 들어 위의 헤드라인 처럼) 하지만 이러한 구들을 기억하는 것은 몇몇의 임의로 선택된 암호를 기억하는 것보다 결코 쉽지 않다. 다시 한번, 기억해야 할 필요성은 공격자들에게는 은혜다. 영화 제목이나, 스포츠 용어나 비속어와 같은 이런저런 리스트들을 위해 인터넷을 스크랩한 결과, Bonneau와 Shutova는 20,656의 단어 사전을 만들 수 있었고, 이는 아마존 데이터베이스에 있는 계정 중 1.13%를 뚫을 수 있었다.

그 둘은 또한 이러한 인기 있는 구를 선택하지 않는 사람일지라도 완전한 임의가 아닌 자연언어에 나타나는 패턴들을 선호한다고 의심했다. 따라서 그들은 그들의 passphrase 모음을 British National Corpus(옥스포드 대학 출판사에서 관리하는 영어의 1억 개 단어 샘플) 에서 임의로 뽑아낸 2개의 단어로 이루어진 구와 비교했다. 또한 Google NGram Corpus(구글의 웹 크롤러에 의해 인터넷에서 뽑아낸 것)와도 비교했다. 확실했다. 그들은 일반적인
영어에서 흔한 구조들과 아마존의 이용자들이 선택한 구 간의 상당한 유사성을 발견했다. 그들이 시도한 것 중 13%의 형용사-명사 조합 (“beautiful woman”)과 5%의 부사-동사 조합(“probably keep”)이 적중했다.

이를 해결하는 한 방법은 암호와 passphrase의 아이디어들을 섞은 기억술 암호라는 것이다. 이것은 의미 없는 것으로 보이는 문자열로 기억하기 그리 어렵지 않다. 예를 들어, 구에 속한 각 단어의 첫 번째 글자만을 이용해, 대문자와 소문자를 다양하게 하고, “B”를 “8”로 바꾸는 식으로 어떤 글자를 대체한다. (따라서 “itaMc0Ttit8”은 이 괄호 안 문장의 연상 기호 축약 텍스트 이다.) 비록 기억술 암호라고 할지라도 완벽하지는 않다. 2006년에 발표된 한 연구에서는 가사나 영화 제목 같은 것들에 기반한 사전에서의 샘플 기억술 암호 중 4%가 뚫렸다.

결론은 아마 명확한 답이 없다는 사실이다. 모든 보안은 신경질 나게 한다. (자주 비행기를 타는 사람 누구에게나 물어봐라) 또한 사람들이 안전하기를 바라는 욕구와 간단해지기를 바라는 욕구 사이의 긴장이 항상 있을 것이라는 점이다. 이 긴장이 계속되는 한, 해커들은 항상 침입할 수 있을 것이다.