비밀번호를 바꾸라는 알림이 뜰 때마다 뒤에 숫자만 하나씩 올린 적이 있을 것이다. password1, password2, password3. 이런 패턴은 자동화된 공격 도구가 10초 안에 뚫어낸다.
이런 비밀번호는 쓰면 안 된다
매년 발표되는 "가장 많이 쓰이는 비밀번호" 목록에 빠지지 않고 등장하는 것들이 있다.
- 123456, password, qwerty — 전 세계 공통 1~3위
- 생년월일 (19950301), 전화번호 뒷자리 (1234) — 개인정보 기반
- 이름 + 숫자 (minjun99), 키보드 패턴 (1q2w3e4r) — 예측 가능한 조합
해커들은 이런 패턴을 수백만 개 모아둔 "사전(dictionary)"을 가지고 있다. 사전 공격 한 번이면 위 목록에 해당하는 비밀번호는 전부 걸린다.
강한 비밀번호의 조건
| 요소 | 기준 | 이유 |
|---|---|---|
| 길이 | 12자 이상 | 8자는 GPU 공격으로 수 시간 안에 해독 가능 |
| 대소문자 혼합 | A~Z + a~z | 경우의 수가 26에서 52로 증가 |
| 숫자 포함 | 0~9 | 문자+숫자 조합으로 경우의 수 확대 |
| 특수문자 포함 | !@#$%^&* 등 | 사전 공격 방어에 가장 효과적 |
참고 12자리 영문+숫자+특수문자 조합 비밀번호를 무작위 대입(brute force)으로 뚫으려면 현재 컴퓨터 성능으로 수천 년이 걸린다. 길이가 1자 늘어날 때마다 해독 시간은 기하급수적으로 증가한다.
직접 만들지 않는 게 오히려 안전하다
사람이 머리로 짜낸 비밀번호는 아무리 복잡하게 만들어도 패턴이 생긴다. "대문자로 시작하고, 숫자를 뒤에 붙이고, 느낌표로 끝내는" 식의 습관이 반복되면 결국 예측 가능해진다.
랜덤 비밀번호 생성기를 쓰면 암호학적으로 안전한 난수 기반으로 비밀번호가 만들어진다. 길이를 16자로 잡고 대소문자, 숫자, 특수문자를 모두 켜면 사람이 절대 떠올릴 수 없는 조합이 나온다. 강도 표시 바로 "강력" 수준인지 바로 확인할 수 있다.
비밀번호 관리 팁 3가지
1. 사이트마다 다른 비밀번호를 쓸 것
하나가 유출되면 나머지가 전부 뚫린다. "크리덴셜 스터핑"이라고 불리는 공격인데, 유출된 ID/비밀번호 조합을 다른 사이트에 자동으로 대입하는 방식이다.
2. 비밀번호 관리자를 활용할 것
사이트마다 다른 16자리 비밀번호를 외울 수는 없다. 크롬, 사파리 같은 브라우저 내장 비밀번호 관리자나, 별도의 비밀번호 관리 앱을 쓰면 하나의 마스터 비밀번호만 기억하면 된다.
3. 2단계 인증(2FA)을 켤 것
비밀번호가 아무리 강해도 피싱에 걸리면 소용없다. OTP나 인증 앱을 추가해두면 비밀번호가 유출되더라도 계정 자체는 지킬 수 있다.
비밀번호를 바꿀 때마다 30초면 생성, 복사, 저장까지 끝난다. 매번 "뭐로 하지" 고민하는 시간이 줄어드는 것만으로도 충분히 쓸 가치가 있다.