[IT 보안/용어] 고문 암호 해독(Rubber Hose Cryptanalysis), 가장 원시적이면서도 효과적인 해킹 방법?

암호 해독의 최후의 수단? "고무 호스"의 위협

암호를 푸는 방법에는 여러 가지가 있습니다. 수학적으로 복잡한 알고리즘을 분석하거나, 슈퍼컴퓨터를 이용해 무차별 대입 공격(Brute Force Attack)을 시도하는 등 다양한 방식이 존재하죠. 하지만 가장 "효율적인" 방법 중 하나는 놀랍게도 기술적인 접근이 아닙니다. 바로 "고문 암호 해독(Rubber Hose Cryptanalysis)" 이라는 다소 섬뜩한 방법이죠.
이 용어는 1990년 마커스 라넘(Marcus J. Ranum)이 처음 사용한 것으로, "암호를 수학적으로 푸는 것보다, 그냥 사람을 두들겨 패서 알아내는 게 더 빠를지도 몰라"라는 다소 극단적인 발상에서 나온 말입니다. 고무 호스를 휘두르는 상상을 해보세요. (물론 실제로 그러면 안 되지만요!)
그렇다면 실제로 이런 방식이 쓰인 적이 있을까요? 그리고 우리는 이런 위협에서 어떻게 보호받을 수 있을까요?

---

고문 암호 해독, 영화 속 이야기인가 현실인가?

1. 고문으로 암호를 털어낸 실제 사례들

생각보다 이 방식이 사용된 사례는 많습니다. 가령,

• 터키의 해킹 수사 사건(2008년)
  미국 법무부 관계자 하워드 콕스(Howard Cox)에 따르면, 터키 경찰이 우크라이나 해커를 체포한 후 물리적인 방법을 동원해 암호화된 데이터를 풀어냈다고 합니다.
  (출처: Schneier on Security)
• 베네수엘라 정치인 고문 사건(2018년)
  베네수엘라에서 한 정치 활동가가 정부 기관에 의해 체포된 후, 휴대폰과 노트북의 암호를 강제로 풀도록 협박받았다는 보고가 있습니다.

이 외에도 법 집행기관, 정부 기관, 심지어 범죄 조직까지도 "비밀번호를 까라!"며 위협하는 경우가 꽤 많습니다.

---

2. "부인 가능한 암호화", 진짜로 유용할까?

이러한 위협에 대응하기 위해 개발된 기술 중 하나가 바로 "부인 가능한 암호화(deniable encryption)" 입니다. 원리는 간단합니다.

1. 두 개의 키를 만든다
   • 하나는 공개 키 (강제로 입력해야 할 상황에서 보여줄 가짜 데이터용)
   • 하나는 비밀 키 (진짜 중요한 데이터를 보호하는 키)
2. 같은 암호화된 파일이지만, 입력하는 키에 따라 전혀 다른 데이터가 나온다.
   • 예를 들어, 해커가 당신을 협박해서 비밀번호를 입력하게 한다면, 공개 키를 입력하면 아무런 중요하지 않은 정보가 나오는 것이죠.
   • 하지만 비밀 키를 입력하면 진짜 중요한 데이터가 해독됩니다.

이 방식은 VeraCrypt 같은 오픈소스 암호화 프로그램에서도 일부 구현되어 있으며, 실용성이 꽤 높다고 평가됩니다. (출처: Wikipedia)