비밀번호 길이 추천 - 안전한 비밀번호는 몇 자리가 적당할까? 2026 기준
비밀번호 길이에 따른 해킹 소요 시간 비교와 실제 보안 전문가들이 권장하는 비밀번호 자릿수를 데이터 기반으로 정리했습니다.
인터넷 서비스에 가입할 때마다 "비밀번호는 8자 이상 입력하세요"라는 안내를 보신 적 있을 겁니다. 그런데 8자면 정말 안전한 걸까요? 최근 GPU 성능이 비약적으로 발전하면서 과거에는 안전하다고 여겨졌던 비밀번호 길이가 더 이상 충분하지 않은 시대가 되었습니다. 이 글에서는 비밀번호 길이 추천 기준을 실제 데이터와 함께 알려드리겠습니다.
비밀번호 길이가 중요한 이유
비밀번호 보안에서 가장 핵심적인 요소는 길이입니다. 특수문자를 넣는 것보다 한 글자를 더 추가하는 것이 보안 강도를 훨씬 크게 높여줍니다.
이유는 간단합니다. 비밀번호가 1자 늘어날 때마다 가능한 조합 수가 기하급수적으로 증가하기 때문입니다. 영문 대소문자 + 숫자 + 특수문자를 사용하면 한 자리당 약 95가지 경우의 수가 생깁니다. 8자리면 95의 8승(약 6.6조 개), 12자리면 95의 12승(약 540경 개)입니다.
- 비밀번호 길이 1자 추가 = 조합 수 약 95배 증가
- 복잡성(특수문자)보다 길이가 보안에 미치는 영향이 더 큼
- 최신 GPU(RTX 4090 기준)는 초당 수십억 개의 해시를 시도 가능
비밀번호 길이 추천의 핵심은 단순합니다. 복잡하게 만들기보다 길게 만드는 것이 훨씬 효과적입니다. 12자 이상이면 현재 기술로 무차별 대입 공격이 사실상 불가능에 가까워집니다.
비밀번호 길이별 해킹 소요 시간
Hive Systems가 2024년에 발표한 자료를 기반으로, RTX 4090 GPU 12대를 사용한 무차별 대입 공격(Brute Force) 시 비밀번호 해독에 걸리는 시간을 정리했습니다.
| 비밀번호 길이 | 숫자만 | 소문자만 | 대소문자 혼합 | 대소문자+숫자+특수문자 |
|---|---|---|---|---|
| 6자리 | 즉시 | 즉시 | 즉시 | 즉시 |
| 8자리 | 즉시 | 3초 | 28분 | 7시간 |
| 10자리 | 즉시 | 35분 | 62일 | 5년 |
| 12자리 | 1초 | 14일 | 850년 | 22만 6천년 |
| 14자리 | 36초 | 27년 | 230만년 | 204억년 |
| 16자리 | 1시간 | 1만 8천년 | 62억년 | 19조년 |
표에서 확인할 수 있듯이, 8자리 비밀번호는 특수문자를 포함해도 7시간이면 뚫립니다. 반면 12자리로 늘리고 다양한 문자 유형을 섞으면 22만 년 이상이 걸립니다. 비밀번호 길이가 보안에 얼마나 결정적인지 보여주는 수치입니다.
보안 전문가의 비밀번호 길이 추천
주요 보안 기관과 전문가들이 권장하는 비밀번호 길이 기준은 다음과 같습니다.
- NIST(미국 국립표준기술연구소): 최소 8자, 권장 15자 이상. 2024년 개정된 SP 800-63B 가이드라인에서 최대 64자까지 허용할 것을 서비스 제공자에게 권고
- KISA(한국인터넷진흥원): 영문, 숫자, 특수문자 조합 시 최소 8자. 두 종류 조합 시 최소 10자
- Google 보안팀: 12자 이상 권장, 패스키(Passkey) 사용 적극 권장
- Microsoft: 12자 이상, 가능하면 14자 이상 권장
종합하면, 비밀번호 길이 추천 기준은 최소 12자, 이상적으로는 16자 이상입니다. 기억하기 어려울 수 있지만, 뒤에서 소개할 방법을 활용하면 충분히 관리 가능합니다.
길이 외에 지켜야 할 비밀번호 규칙
비밀번호 길이가 가장 중요하지만, 그것만으로는 부족합니다. 길이와 함께 반드시 지켜야 할 규칙들이 있습니다.
절대 피해야 할 비밀번호 패턴
- 사전 단어 그대로 사용: "password", "dragon", "monkey" 등은 사전 공격에 즉시 노출
- 연속된 문자: "123456", "abcdef", "qwerty" 같은 패턴
- 개인정보 포함: 생년월일, 전화번호, 이름 조합
- 서비스별 동일 비밀번호: 한 곳이 뚫리면 모든 계정이 위험
추천하는 비밀번호 생성 방법 - 패스프레이즈
보안 전문가들이 추천하는 방법은 패스프레이즈(Passphrase)입니다. 무작위 단어 4~5개를 조합하는 방식입니다.
예를 들어 "의자-커피-산책-구름-17!"처럼 만들면 총 15자로, 기억하기 쉬우면서도 무차별 대입 공격에 매우 강합니다. 단어 사이에 숫자나 특수문자를 섞으면 보안 강도가 더욱 높아집니다.
비밀번호 관리 도구 활용법
16자 이상의 강력한 비밀번호를 서비스마다 다르게 설정하면, 당연히 외울 수가 없습니다. 이때 필요한 것이 비밀번호 관리 프로그램입니다.
비밀번호 관리자의 핵심 기능
마스터 비밀번호 하나만 기억하면, 나머지 모든 계정의 비밀번호를 자동으로 입력해주는 프로그램입니다. 각 서비스별로 20자 이상의 무작위 비밀번호를 생성하고 안전하게 저장합니다.
주요 비밀번호 관리 프로그램으로는 Bitwarden(무료/오픈소스), 1Password(유료), Samsung Pass(삼성 기기 내장) 등이 있습니다. 마스터 비밀번호만큼은 앞서 소개한 패스프레이즈 방식으로 충분히 길고 강력하게 설정하세요.
한편, 비밀번호 관리처럼 중요한 일정이나 기념일을 놓치고 싶지 않다면 D-Day 계산기를 활용해보세요. 비밀번호 변경 주기나 보안 점검 일정을 D-Day로 설정해두면 잊지 않고 관리할 수 있습니다.
2단계 인증(2FA)은 필수
비밀번호가 아무리 강력해도 피싱이나 데이터 유출로 노출될 수 있습니다. 2단계 인증을 설정하면 비밀번호가 유출되더라도 추가 인증 없이는 로그인이 불가능합니다. Google Authenticator, Microsoft Authenticator 등의 앱을 사용하면 됩니다.
지금 바로 실천할 체크리스트
비밀번호 보안은 알면서도 미루기 쉽습니다. 아래 순서대로 하나씩 실천해보세요.
- 1단계: 주요 계정(이메일, 금융, SNS) 비밀번호가 12자 미만이면 즉시 변경
- 2단계: 여러 사이트에서 같은 비밀번호를 쓰고 있다면, 비밀번호 관리 프로그램을 설치하고 각각 다르게 변경
- 3단계: 이메일, 금융 서비스에 2단계 인증 활성화
- 4단계: Have I Been Pwned(haveibeenpwned.com)에서 내 이메일이 유출된 적 있는지 확인
- 5단계: 패스프레이즈 방식으로 마스터 비밀번호를 16자 이상으로 설정
가장 중요한 것은 비밀번호 길이를 12자 이상으로 늘리는 것입니다. 이것 하나만 실천해도 계정 보안 수준이 극적으로 달라집니다. 지금 사용 중인 비밀번호가 몇 자리인지 확인하고, 오늘 바로 변경해보세요.
