비밀번호 안전하게 만드는 법 - 해킹 막는 7가지 원칙과 비밀번호 관리 도구 활용법
비밀번호 하나가 뚫리면 메일, SNS, 은행까지 연쇄로 무너집니다. 12자 길이부터 비밀번호 관리자와 2단계 인증까지 실전 보안 방법을 정리했습니다.
로그인하려는데 '비밀번호가 일치하지 않습니다'라는 메시지가 뜨고, 본인인증을 거치니 모르는 IP에서 접속 시도가 수십 건 있었다는 알림이 옵니다. 누군가 내 계정을 노린 겁니다. 이런 일은 더 이상 드물지 않습니다. 한국인터넷진흥원에 따르면 국내 계정 탈취 사고는 매년 증가 추세이고, 그 시작은 대부분 허술한 비밀번호 한 줄에서 출발합니다.
비밀번호 하나로 모든 계정이 무너지는 이유
해커는 단일 사이트만 노리지 않습니다. 한 곳에서 얻은 이메일과 비밀번호 조합을 다른 사이트에 그대로 시도합니다. 크리덴셜 스터핑이라 부르는 이 공격 방식은 KISA 보고서에서 가장 흔한 계정 탈취 수법으로 지목됩니다. 한 사이트에서 비밀번호가 새면 메일, SNS, 쇼핑몰, 은행까지 연쇄적으로 뚫리는 구조입니다.
특히 같은 비밀번호를 여러 곳에 쓰는 사람일수록 피해 범위가 커집니다. 비밀번호 보안은 단순히 한 계정을 지키는 문제가 아니라, 디지털 자산 전체를 지키는 첫 번째 방어선입니다.
비밀번호는 디지털 신분증입니다. 같은 신분증을 여러 곳에 복사해서 들고 다니면, 하나만 잃어버려도 모든 신분이 도용됩니다.
안전한 비밀번호의 5가지 조건
한국인터넷진흥원과 미국 NIST의 권고를 종합하면 안전한 비밀번호의 기준은 다음과 같습니다.
| 조건 | 기준 | 이유 |
|---|---|---|
| 길이 | 최소 12자 이상 | 8자는 GPU 무차별 대입에 몇 시간 만에 뚫림 |
| 구성 | 대문자, 소문자, 숫자, 특수문자 혼합 | 조합 경우의 수 기하급수적 증가 |
| 예측 불가 | 사전 단어, 개인정보 배제 | 사전 공격 방어 |
| 고유성 | 계정마다 다른 비밀번호 | 크리덴셜 스터핑 차단 |
| 변경 시점 | 유출 의심 시 즉시 교체 | 피해 확산 최소화 |
특히 길이는 그 어떤 조건보다 중요합니다. 12자 이상의 무작위 문장이 8자의 복잡한 조합보다 훨씬 안전합니다. 예를 들어 'M@y2024!'보다 'purple-sunset-elephant-42'가 더 강력합니다. 후자는 영문 사전에 등재된 단어 조합이지만 길이가 길어 무차별 대입 시간이 천문학적으로 늘어납니다.
절대 쓰면 안 되는 비밀번호 패턴
매년 발표되는 '가장 많이 유출된 비밀번호' 순위에는 비슷한 패턴이 반복됩니다. 본인이 다음에 해당된다면 지금 당장 바꾸시기 바랍니다.
- 연속된 숫자나 문자: 123456, abcdef, qwerty, asdf1234
- 개인정보 기반: 생년월일, 휴대폰 뒷자리, 자녀 이름, 반려동물 이름
- 사전에 있는 단어 그대로: password, korea, love, admin, welcome
- 키보드 패턴: 1q2w3e4r, qwer1234, zaq12wsx
- 단순 변형: P@ssw0rd, Korea123!, Admin@2024
해커들이 사용하는 비밀번호 사전에는 이런 패턴이 모두 등록되어 있습니다. '복잡해 보이는' 비밀번호와 '실제로 복잡한' 비밀번호는 다릅니다. 또한 디자인 작업에서 더미 텍스트가 필요할 때 Lorem Ipsum 생성기 같은 도구로 만든 텍스트를 그대로 비밀번호에 옮겨 쓰면 안 됩니다. 공개된 표준 더미 텍스트는 이미 모든 사전 공격 도구에 등록돼 있어 보호 효과가 없습니다.
비밀번호 관리자로 외울 부담 없애기
계정마다 다른 12자 이상의 비밀번호를 만들면 결국 사람이 외울 수 없는 양이 됩니다. 그래서 비밀번호 관리자가 필수입니다.
대표적인 비밀번호 관리자
- Bitwarden: 오픈소스, 무료 플랜이 충분하고 한글 지원도 안정적
- 1Password: 유료, 가족 공유와 UI 완성도 강점
- KeePassXC: 로컬 저장 방식, 클라우드를 신뢰하지 않는 사용자에게 적합
- 네이버 비밀번호 매니저: 네이버 계정 중심 사용자에게 편리
사용자는 마스터 비밀번호 하나만 외우면 됩니다. 단, 이 마스터 비밀번호는 절대 다른 곳에 사용하지 말고, 종이에 적어 금고나 안전한 곳에 보관해두는 것을 권장합니다. 클라우드 메모장에 저장하면 그곳이 뚫렸을 때 모든 비밀번호가 한 번에 노출됩니다.
2단계 인증으로 추가 방어막 만들기
비밀번호가 새도 2단계 인증이 켜져 있으면 해커는 들어갈 수 없습니다. 마이크로소프트는 자사 분석에서 2단계 인증이 자동화된 계정 탈취 시도의 99% 이상을 차단한다고 발표한 바 있습니다.
| 방식 | 보안 강도 | 편의성 |
|---|---|---|
| OTP 앱 (Google Authenticator, Authy) | 높음 | 중간 |
| 물리 보안키 (YubiKey 등) | 매우 높음 | 낮음 |
| SMS 문자 | 낮음 (심스와핑 위험) | 높음 |
| 이메일 인증 | 중간 | 높음 |
은행, 메일, SNS는 최소한 OTP 앱을 사용하시기 바랍니다. SMS는 심스와핑 공격에 취약하다고 알려져 있으니 가능하면 OTP로 전환하는 것이 좋습니다. 2단계 인증 등록 시 제공되는 백업 코드는 반드시 인쇄해서 따로 보관해야 합니다. 휴대폰을 분실하면 백업 코드 없이는 계정 복구가 매우 까다로워집니다.
내 비밀번호가 유출됐는지 확인하는 법
이미 어디선가 비밀번호가 유출됐을 가능성도 있습니다. 다음 방법으로 점검할 수 있습니다.
- Have I Been Pwned (haveibeenpwned.com): 이메일 주소 입력만으로 유출 이력 확인
- 구글 비밀번호 검사: 크롬에 저장된 비밀번호의 유출 여부 자동 점검
- 네이버, 카카오 보안 알림: 비정상 로그인 시 즉시 알림 전송
유출이 확인되면 해당 사이트뿐 아니라 같은 비밀번호를 쓴 다른 사이트도 모두 교체해야 합니다. 이때 단순히 마지막 숫자만 바꾸는 변형은 의미가 없습니다. 완전히 새로운 패턴으로 갈아엎는 것이 원칙입니다.
오늘 당장 실천할 수 있는 두 가지를 정해보세요. 첫째, 메일과 은행 계정에 2단계 인증을 켭니다. 둘째, 비밀번호 관리자를 하나 설치하고 자주 쓰는 사이트 5곳부터 새 비밀번호로 교체합니다. 이 두 가지만으로도 계정 탈취 위험의 절반 이상을 줄일 수 있습니다.
