안전한 비밀번호 규칙 7가지 - 계정 해킹 막는 강력한 보안 설정 완벽 가이드
매년 수억 개의 계정이 비밀번호 탈취로 뚫립니다. 길이, 조합, 재사용 금지까지 실제 보안 기준에 맞는 안전한 비밀번호 규칙과 직접 점검할 체크리스트, 관리 도구 활용법까지 한 번에 정리했습니다.
같은 비밀번호를 여러 사이트에 돌려쓰고 계신가요. 생일이나 전화번호 뒷자리를 섞어 만든 비밀번호를 몇 년째 그대로 쓰고 계실 수도 있습니다. 불편한 건 알지만 막상 바꾸려니 외울 자신이 없어서 미루게 됩니다. 하지만 계정 하나가 뚫리면 같은 비밀번호를 쓰는 다른 계정까지 연쇄적으로 털리는 경우가 대부분입니다. 어렵게 외우지 않아도 충분히 안전하게 만드는 방법이 있습니다.
비밀번호가 뚫리는 진짜 이유
해커가 한 글자씩 찍어 맞히는 영화 속 장면은 현실과 거리가 멉니다. 실제 계정 탈취는 대부분 자동화된 방식으로 일어납니다.
크리덴셜 스터핑
특정 사이트에서 유출된 아이디와 비밀번호 목록을 다른 사이트에 그대로 대입해 보는 공격입니다. 한 곳에서 새어 나간 정보가 네이버, 카카오, 쇼핑몰 로그인까지 연쇄적으로 무너뜨립니다. 비밀번호 재사용이 가장 위험한 이유가 바로 이것입니다.
사전 공격과 무차별 대입
자주 쓰이는 비밀번호 수백만 개를 미리 정리해 둔 사전을 빠르게 대입합니다. password, 123456, qwerty 같은 조합은 1초도 안 걸려 뚫립니다.
비밀번호의 안전성은 "얼마나 외우기 어려운가"가 아니라 "기계가 추측하는 데 얼마나 오래 걸리는가"로 결정됩니다. 사람에게 복잡해 보여도 기계에게 뻔한 패턴이면 의미가 없습니다.
안전한 비밀번호 규칙 핵심 7가지
국내외 보안 기관이 공통적으로 권고하는 기준을 실제 적용 가능한 형태로 정리했습니다. 안전한 비밀번호 규칙의 핵심은 길이, 고유성, 관리 방식 세 가지로 압축됩니다.
| 번호 | 규칙 | 이유 |
|---|---|---|
| 1 | 최소 12자 이상, 가능하면 16자 | 길이가 길수록 대입에 걸리는 시간이 기하급수적으로 증가 |
| 2 | 사이트마다 다른 비밀번호 사용 | 한 곳이 뚫려도 다른 계정으로 번지지 않음 |
| 3 | 대소문자, 숫자, 특수문자 혼합 | 대입 시 경우의 수를 크게 늘림 |
| 4 | 개인정보(생일, 이름, 전화번호) 배제 | SNS 정보만으로 추측 가능 |
| 5 | 사전 단어 그대로 쓰지 않기 | 사전 공격에 즉시 노출 |
| 6 | 2단계 인증(2FA) 병행 | 비밀번호가 새도 추가 관문이 막아줌 |
| 7 | 유출 의심 시 즉시 변경 | 피해 확산을 초 단위로 차단 |
길이와 복잡성, 무엇이 더 중요할까
특수문자를 잔뜩 넣은 8자리 비밀번호와, 단순하지만 긴 비밀번호 중 무엇이 더 안전할까요. 정답은 길이입니다.
P@s3!처럼 짧고 복잡한 것보다 correct-horse-battery-staple처럼 긴 문장형이 추측하기 훨씬 어렵습니다. 글자 한 자리가 늘어날 때마다 가능한 조합은 폭발적으로 커지기 때문입니다.
패스프레이즈 만드는 법
- 서로 관련 없는 단어 4개 이상을 조합합니다. 예: 우산-호두-기차-노을
- 중간에 숫자나 특수문자를 한두 개 끼워 넣습니다.
- 문장처럼 외우되, 실제 명언이나 가사를 그대로 쓰지는 않습니다.
비밀번호 생성과 관리 도구 활용법
사이트마다 다른 16자 비밀번호를 전부 외우는 건 비현실적입니다. 그래서 도구의 힘을 빌려야 합니다.
비밀번호 관리자
브라우저 내장 관리자나 전용 앱은 강력한 비밀번호를 자동 생성하고 암호화해 저장합니다. 사용자는 마스터 비밀번호 하나만 안전하게 기억하면 됩니다. 이때 마스터 비밀번호만큼은 앞에서 설명한 패스프레이즈 방식으로 길고 고유하게 만들어야 합니다.
인코딩과 암호화를 헷갈리지 말 것
가끔 "비밀번호를 Base64로 바꿔두면 안전하다"는 오해가 있습니다. 사실이 아닙니다. Base64는 암호화가 아니라 단순 인코딩이라 누구나 즉시 원래 값으로 되돌릴 수 있습니다. 실제로 Base64 인코더 같은 도구로 인코딩과 디코딩이 양방향으로 자유롭게 이뤄지는 것을 보면, 이것이 보안 수단이 될 수 없다는 점을 바로 이해할 수 있습니다. 비밀번호 보호에는 인코딩이 아니라 해시와 암호화가 필요합니다.
절대 하지 말아야 할 습관
좋은 규칙을 알아도 아래 습관 하나가 모든 노력을 무너뜨립니다.
- 같은 비밀번호를 두 곳 이상에서 재사용하기
- 비밀번호를 메모장이나 메신저 보관함에 평문으로 저장하기
- 공용 PC나 PC방에서 자동 로그인 체크하기
- 출처가 불분명한 링크에서 로그인 정보 입력하기(피싱)
- 2단계 인증을 귀찮다는 이유로 끄기
특히 피싱은 아무리 강력한 비밀번호라도 사용자가 직접 입력해 넘겨주게 만들기 때문에 무력화됩니다. 로그인 전에는 항상 주소창의 도메인이 정확한지 확인하는 습관이 중요합니다.
지금 바로 점검할 것
오늘 안에 할 수 있는 두 가지만 실행해도 보안 수준이 크게 올라갑니다.
첫째, 이메일과 금융 계정처럼 가장 중요한 계정부터 2단계 인증을 켜고 비밀번호를 12자 이상으로 교체하세요. 모든 계정을 한 번에 바꾸려다 지치지 말고, 뚫렸을 때 피해가 큰 순서대로 처리하면 됩니다.
둘째, 같은 비밀번호를 여러 곳에 쓰고 있다면 그 목록부터 끊어내세요. 재사용을 없애는 것만으로 크리덴셜 스터핑 공격의 연쇄 피해를 막을 수 있습니다. 비밀번호 관리자를 도입하면 이 과정을 훨씬 수월하게 이어갈 수 있습니다.
