비밀번호를 바꾸라는 알림이 뜰 때마다 기존 비밀번호 끝에 숫자 1을 붙이는 사람이 있다. password1, password2, password3. 이런 패턴은 해커 입장에서 가장 먼저 시도하는 조합이다.
대부분의 비밀번호가 뚫리는 이유
비밀번호 유출 사고 데이터를 분석하면, 가장 많이 쓰이는 비밀번호 상위권은 매년 비슷하다.
- 123456
- password
- qwerty
- abc123
- 생년월일 (19900101 등)
이런 비밀번호는 "사전 공격(dictionary attack)"이라 불리는 방식으로 1초도 안 걸려서 뚫린다. 흔한 단어, 숫자 패턴, 키보드 배열 순서를 자동으로 대입하는 프로그램이 이미 존재하기 때문이다.
강한 비밀번호의 조건
길이와 복잡도, 두 가지가 핵심이다.
| 조건 | 권장 기준 | 이유 |
|---|---|---|
| 길이 | 12자 이상 | 8자리 비밀번호는 무차별 대입으로 수 시간 내 뚫린다 |
| 대문자 | 1개 이상 포함 | 경우의 수 26배 증가 |
| 소문자 | 1개 이상 포함 | 대문자와 조합하면 조합 수 급증 |
| 숫자 | 1개 이상 포함 | 알파벳만 쓸 때보다 10배 더 복잡 |
| 특수문자 | 1개 이상 포함 | 사전 공격 방어에 가장 효과적 |
TIP 12자리 영문+숫자+특수문자 조합을 무차별 대입으로 뚫으려면, 현재 컴퓨터 성능으로 수백 년 이상이 걸린다. 길이를 16자리로 늘리면 사실상 해독 불가능한 수준이 된다.
사이트마다 다른 비밀번호 규칙에 대응하는 법
어떤 사이트는 특수문자 필수, 어떤 사이트는 특수문자 사용 불가. 심지어 허용되는 특수문자 종류가 다르기도 하다. 매번 규칙에 맞춰 머리로 조합을 짜내는 건 한계가 있다.
랜덤 비밀번호 생성기를 쓰면 길이(8~64자)와 포함할 문자 유형(대문자, 소문자, 숫자, 특수문자)을 체크한 뒤 버튼 하나로 즉시 만들 수 있다. 생성된 비밀번호의 강도가 취약/보통/양호/강력 중 어디에 해당하는지도 바로 표시된다.
비밀번호 관리 실전 요령
- 사이트마다 다른 비밀번호 쓰기
- 하나의 비밀번호를 여러 사이트에 돌려 쓰면, 한 곳이 털렸을 때 나머지도 전부 뚫린다. 귀찮더라도 각 사이트별로 다른 비밀번호를 쓰는 게 원칙이다.
- 비밀번호 관리자 활용
- 사이트별로 다른 비밀번호를 외우는 건 비현실적이다. 크롬이나 사파리 내장 비밀번호 관리자를 쓰거나, 별도 비밀번호 관리 앱(1Password, Bitwarden 등)에 저장하면 된다.
- 2단계 인증 켜기
- 비밀번호가 유출되더라도 OTP나 문자 인증이 걸려 있으면 추가 방어막이 된다. 특히 이메일, 금융, SNS 계정은 반드시 설정해둘 것을 권한다.
절대 하면 안 되는 것들
- ✗ 비밀번호를 메모장이나 스티커에 적어두기
- ✗ 이름, 생년월일, 전화번호를 비밀번호에 포함하기
- ✗ 이전 비밀번호 뒤에 숫자만 바꿔서 재사용하기
- ✗ "비밀번호 찾기" 질문의 답을 실제 정보로 설정하기 (반려동물 이름 등)
비밀번호 하나 바꾸는 데 30초면 된다. 3초 만에 뚫리는 비밀번호를 수백 년 걸리는 비밀번호로 바꿀 수 있으니, 지금 쓰고 있는 비밀번호가 위 조건을 충족하는지 한 번 점검해볼 만하다.