내 비밀번호는 안전할까 — 강도를 결정하는 것과 흔한 착각
"특수문자 포함 8자 이상" — 회원가입 때마다 보는 조건이라, 이것만 채우면 안전하다고 생각하기 쉽습니다. 그런데 비밀번호 강도를 실제로 좌우하는 건 다른 요소입니다. 강도가 어떻게 계산되는지, 우리가 흔히 하는 착각은 무엇인지, 지금 쓰는 비밀번호를 어떻게 점검할지 정리합니다.
강도의 원리 — 결국 경우의 수
공격자는 비밀번호를 "추측"합니다. 가능한 조합을 자동으로 대입하는 것이죠. 그래서 강도는 공격자가 시도해야 하는 경우의 수로 결정됩니다.
- 길이는 지수로 늘립니다 — 한 글자가 늘 때마다 경우의 수는 수십 배씩 곱해집니다. 8자→12자는 "조금 더 안전"이 아니라 수억 배 차이입니다.
- 문자 종류는 밑수를 키웁니다 — 소문자만(26종)보다 대문자·숫자·특수문자를 섞으면(90종 이상) 같은 길이에서 더 강해집니다.
- 패턴은 경우의 수를 무너뜨립니다 — 사전 단어, 키보드 연속(qwer), 생일은 공격자가 가장 먼저 시도하는 목록에 있어 길어도 약합니다.
한 줄 요약: 길이 ≫ 종류 ≫ 무작위성 순으로 챙기되, 셋 중 무엇도 "사전에 있는 것"을 구해 주지는 못합니다.
흔한 착각 3가지
- "a를 @로 바꿨으니 안전하다" —
p@ssw0rd류의 치환은 공격 도구 사전에 기본 패턴으로 들어 있습니다. 효과가 거의 없습니다. - "특수문자 넣은 8자면 충분하다" — 짧은 비밀번호는 종류를 섞어도 한계가 있습니다. 소문자만 쓴 16자가 특수문자 섞은 8자보다 강합니다.
- "주기적으로 바꾸면 안전하다" — 강제로 자주 바꾸게 하면 사람들은
비밀번호1→비밀번호2처럼 예측 가능한 변형을 씁니다. 유출 정황이 없다면, 좋은 비밀번호 하나를 오래 쓰는 편이 낫다는 것이 현재 보안 기관들의 권고입니다.
점검하고 보강하는 순서
- 강도 검사기에 지금 쓰는 것과 비슷한 길이·구성의 예시를 넣어 평가를 확인합니다 (실제 비밀번호 그대로보다는 같은 패턴의 예시를 권장).
- 점수가 낮으면 먼저 길이를 12자 이상으로 늘립니다 — 관련 없는 단어 3~4개를 잇는 방식이 외우기 쉽습니다.
- 대문자·숫자·특수문자를 자연스럽게 섞고, 생일·이름·키보드 연속 패턴이 들어 있다면 뺍니다.
- 바꾼 비밀번호를 다시 검사해 모든 항목이 통과되는지 확인합니다.
비밀번호 강도 검사기브라우저 안에서만 평가 — 전송·저장 없음
검사하기 →
점수보다 중요한 두 가지
- 재사용 금지 — 아무리 강한 비밀번호도 여러 사이트에서 같이 쓰면, 가장 보안이 약한 사이트 한 곳의 유출로 전부 뚫립니다. 중요 계정(메일·금융·클라우드)만큼은 반드시 따로 쓰세요.
- 2단계 인증(2FA) — 비밀번호가 유출돼도 추가 인증이 막아 줍니다. 지원하는 서비스라면 켜 두는 것이 비밀번호를 한 단계 강하게 만드는 것보다 효과가 큽니다.
자주 묻는 질문
Q. 특수문자만 넣으면 안전한 비밀번호가 되나요?
아닙니다. 강도에 가장 크게 기여하는 건 종류가 아니라 길이입니다. 특수문자를 넣은 8자 비밀번호보다 영문 소문자만으로 된 16자 비밀번호의 경우의 수가 훨씬 큽니다. 특수문자는 짧은 비밀번호의 약점을 메워 주지 못하므로, 먼저 12자 이상으로 늘리고 그 위에 종류를 섞는 것이 올바른 순서입니다.
Q. password를 p@ssw0rd로 바꾸면 더 안전한가요?
거의 효과가 없습니다. a를 @로, o를 0으로 바꾸는 치환은 너무 유명해서 공격 도구의 사전에 기본 패턴으로 들어 있습니다. 사전에 있는 단어를 기반으로 한 비밀번호는 치환을 해도 사전 공격에 빠르게 뚫립니다. 사전에 없는 무작위 문자열이나, 관련 없는 단어 여러 개를 이은 긴 문구가 훨씬 안전합니다.
Q. 강도 검사에서 높은 점수가 나오면 안심해도 되나요?
구조적으로 튼튼하다는 뜻일 뿐, 안전이 보장되는 건 아닙니다. 아무리 점수가 높아도 여러 사이트에서 재사용 중이라면 한 곳의 유출로 전부 뚫리고, 이미 유출 목록에 오른 비밀번호라면 즉시 바꿔야 합니다. 점수는 출발점으로 삼고, 사이트마다 다른 비밀번호와 2단계 인증을 함께 쓰는 것이 실질적인 안전장치입니다.
함께 보면 좋은 가이드