2024년 국내에서 유출된 개인정보 건수가 1,000만 건을 넘었다. 유출 사고의 상당수는 단순한 비밀번호가 원인이다. "qwerty123"이나 "password1!" 같은 비밀번호는 자동화 도구로 수 초 안에 뚫린다.
해킹에 취약한 비밀번호 패턴
아래에 해당하면 즉시 바꾸는 게 좋다.
- ✗ 8자 미만 (무차별 대입 공격에 수 분이면 해독)
- ✗ 생년월일, 전화번호, 이름 포함 (유출된 개인정보와 조합 가능)
- ✗ "abc123", "1q2w3e4r" 같은 키보드 패턴
- ✗ 여러 사이트에서 같은 비밀번호 재사용
- ✗ 사전에 있는 영어 단어 그대로 사용
강력한 비밀번호의 조건
| 조건 | 이유 |
|---|---|
| 12자 이상 | 길이가 1자 늘어날 때마다 해독 시간이 기하급수적으로 증가 |
| 대문자 + 소문자 | 경우의 수가 26에서 52로 두 배 |
| 숫자 포함 | 62가지 문자 조합으로 확장 |
| 특수문자 포함 | !@#$%^&* 등이 추가되면 경우의 수가 90가지 이상 |
| 무작위 배열 | 패턴이 없어야 사전 공격에 면역 |
12자에 대소문자·숫자·특수문자를 모두 섞으면 무차별 대입으로 해독하는 데 수천 년 이상 걸린다.
비밀번호를 직접 만들기 어려운 이유
사람이 "랜덤"하게 만들었다고 생각하는 비밀번호도 실제로는 패턴이 있다. 대문자를 첫 글자에 넣고, 특수문자를 마지막에 붙이고, 숫자는 연속으로 쓰는 식이다. 해커들은 이런 인간의 습관을 데이터베이스로 갖고 있어서 "사람이 만든 랜덤"은 생각보다 빨리 풀린다.
암호학적 난수를 사용하는 랜덤 비밀번호 생성기로 만들면 이런 패턴이 원천적으로 없다. 길이와 포함할 문자 유형만 체크하면 바로 나오고, 강도 표시가 같이 나오니까 기준 미달인지 아닌지 바로 알 수 있다.
TIP 생성된 비밀번호를 외우기 어렵다면 비밀번호 관리 앱(1Password, Bitwarden 등)에 저장해두자. 브라우저 자동 저장보다 보안성이 높다.
사이트별 비밀번호 규칙이 다를 때
어떤 사이트는 특수문자를 필수로 요구하고, 어떤 곳은 특정 특수문자(@, #)만 허용한다. 16자 이상을 요구하는 곳도 있고, 반대로 12자까지만 입력 가능한 곳도 있다. 규칙에 맞춰 새 비밀번호를 머리로 만들어내는 건 비효율적이다. 생성기에서 길이와 옵션을 조절해서 규칙에 맞는 비밀번호를 뽑고, 복사해서 붙여넣는 편이 빠르다.
비밀번호 하나 바꾸는 데 30초면 된다. 지금 쓰고 있는 비밀번호가 8자 미만이거나 여러 사이트에서 같은 걸 쓰고 있다면, 주요 사이트부터 하나씩 교체하자.