가입할 때마다 비밀번호를 새로 만들어야 하는데, 대문자 소문자 숫자 특수문자를 전부 섞으라는 조건이 붙는다. 결국 'Qwer1234!'처럼 패턴이 뻔한 비밀번호를 돌려 쓰게 된다. 한 곳이 유출되면 나머지 계정이 전부 위험해지는 구조다.
뻔한 비밀번호, 왜 위험한가
해커가 비밀번호를 뚫는 방식은 생각보다 단순하다. 가장 흔한 비밀번호 목록을 차례로 대입하는 "사전 공격"이 대표적이다. 매년 공개되는 유출 비밀번호 통계에서 상위권은 거의 바뀌지 않는다.
- ✗ 123456, password, qwerty
- ✗ 생년월일 조합 (19940615, 0615!)
- ✗ 이름 + 숫자 (minjun123)
- ✗ 키보드 순서 (1q2w3e4r, zxcvbnm)
이런 비밀번호는 사전 공격으로 수 초 만에 뚫린다. 12자리 이상이더라도 패턴이 있으면 의미가 없다.
안전한 비밀번호의 조건
- ✓ 12자리 이상 — 길이가 길수록 조합 경우의 수가 기하급수적으로 늘어난다
- ✓ 대문자 + 소문자 + 숫자 + 특수문자 혼합 — 문자 유형이 다양할수록 무차별 대입에 강하다
- ✓ 사이트마다 다른 비밀번호 — 한 곳이 유출되어도 다른 계정에 영향 없음
- ✓ 예측 불가능한 조합 — 단어, 이름, 날짜 등 추측 가능한 정보 배제
참고 미국 NIST(국립표준기술연구소) 가이드라인에서도 비밀번호 길이를 가장 중요한 보안 요소로 꼽는다. 복잡한 규칙보다 긴 비밀번호가 실제로 더 안전하다.
머리로 만들지 말고 생성기를 쓰자
조건을 다 맞추면서 사이트마다 다른 비밀번호를 직접 만드는 건 현실적으로 어렵다. 매번 머리를 쥐어짜는 것보다 비밀번호 생성기로 랜덤 조합을 뽑는 게 실질적으로 더 안전하다.
- 길이를 12자리 이상으로 설정한다. 16자리면 더 좋다.
- 대문자, 소문자, 숫자, 특수문자 체크박스를 전부 켠다.
- 생성 버튼을 누르면
k#9Lm!vQ2x$pT7같은 조합이 바로 나온다. - 복사 버튼으로 클립보드에 저장하고 해당 사이트에 붙여넣는다.
암호학적 난수 생성 방식을 쓰기 때문에 사람이 만든 비밀번호보다 패턴이 없다. 생성 이력이 최근 8개까지 남아서, 방금 만든 비밀번호를 다시 확인할 수도 있다.
비밀번호 관리 팁
사이트마다 다른 비밀번호를 쓰면 기억하는 게 문제다. 몇 가지 방법이 있다.
- 비밀번호 관리 앱 — 하나의 마스터 비밀번호만 기억하면 나머지는 앱이 자동 입력해준다
- 브라우저 저장 — 크롬, 사파리 등 브라우저 내장 비밀번호 관리 기능을 활용한다
- 수기 메모 — 디지털이 불안하면 종이에 적어서 안전한 곳에 보관하는 것도 방법이다
비밀번호 하나 바꾸는 데 1분이면 된다. 자주 쓰는 계정 5개만이라도 지금 바로 바꿔두면, 나중에 유출 사고가 터졌을 때 피해를 줄일 수 있다.