해킹 안 당하는 비밀번호 만드는 법
"비밀번호에 대문자·숫자·특수문자를 포함하세요." 매번 시키는 대로 만들지만, 정작 그렇게 만든 P@ssw0rd! 같은 비밀번호는 생각보다 안전하지 않습니다. 진짜 중요한 건 복잡함이 아니라 길이와 재사용하지 않는 것입니다. 그 이유와 실천법을 정리합니다.
약한 비밀번호는 왜 위험한가
공격자는 비밀번호를 손으로 추측하지 않습니다. 1초에 수백만~수십억 개를 대입하는 자동화 도구를 씁니다. 그래서 1234, password, 생년월일, 전화번호, 이름처럼 흔한 패턴은 사실상 즉시 뚫립니다. 사전에 있는 단어 하나, 키보드 배열(qwerty), 흔한 치환(a→@, o→0)도 공격 도구가 이미 다 알고 있습니다.
복잡함보다 길이가 중요한 이유
비밀번호의 강도는 '가능한 경우의 수'로 결정됩니다. 길이가 한 글자 늘어날 때마다 경우의 수는 기하급수적으로 커집니다. 그래서 특수문자를 욱여넣은 짧은 비밀번호보다, 평범한 글자로 된 긴 비밀번호가 훨씬 강합니다.
| 예시 | 길이 | 체감 강도 |
|---|---|---|
| P@ss1! | 6자 | 매우 약함 |
| P@ssw0rd! | 9자 | 약함(흔한 패턴) |
| correct-horse-battery-staple | 28자 | 매우 강함 |
외우기 쉬운 패스프레이즈
길면서도 외울 수 있는 방법이 패스프레이즈입니다. 서로 관련 없는 단어 4개 이상을 이어 붙이는 방식이죠. 예를 들어 '노을-우산-고래-연필' 같은 조합은 28자가 넘어 매우 강하면서도 이미지로 기억하기 쉽습니다. 여기에 숫자나 기호를 한두 개 섞으면 더 좋습니다. 단, 유명한 명언·노래 가사·속담은 사전 공격 대상이니 피하세요.
외울 필요가 없는 계정(자주 안 쓰는 사이트)이라면, 사람이 떠올린 패턴보다 안전한 무작위 비밀번호를 생성해 쓰는 편이 낫습니다.
재사용 금지가 가장 중요하다
아무리 강한 비밀번호라도 여러 사이트에 똑같이 쓰면 의미가 없습니다. 어느 한 사이트가 해킹돼 비밀번호가 유출되면, 공격자는 그 아이디·비밀번호 조합을 다른 사이트에 그대로 대입합니다(크리덴셜 스터핑). 그래서 한 곳의 유출이 이메일·쇼핑·금융 계정까지 도미노처럼 번집니다. 사이트마다 다른 비밀번호가 가장 강력한 방어입니다.
현실적인 관리법
- 비밀번호 관리자 사용: 사이트마다 다른 긴 비밀번호를 외울 수는 없습니다. 관리자 앱(브라우저 내장 포함)에 맡기고, 당신은 그 관리자의 마스터 비밀번호 하나만 강하게 외우세요.
- 2단계 인증(2FA): 비밀번호가 유출돼도 추가 인증이 막아 줍니다. 중요 계정엔 꼭 켜세요.
- 유출 점검: 내 계정이 과거 유출에 포함됐는지 확인하는 서비스가 있습니다. 걸린 비밀번호는 즉시 교체하세요.
- 강도 확인: 새 비밀번호를 정했다면 강도 검사로 약점이 없는지 점검하세요.
길이가 더 중요합니다. 특수문자를 섞은 8자리보다, 평범한 단어를 이어 붙인 16자리 이상이 깨기 훨씬 어렵습니다. 길이가 한 자 늘 때마다 가능한 경우의 수가 기하급수적으로 커지기 때문입니다.
한 사이트가 털리면 유출된 아이디·비밀번호 조합을 다른 사이트에 그대로 대입하는 ‘크리덴셜 스터핑’ 공격에 노출됩니다. 비밀번호를 재사용하면 한 곳의 유출이 모든 계정의 유출로 번집니다. 사이트마다 다른 비밀번호를 쓰는 것이 핵심입니다.
도구상자의 비밀번호 생성기는 브라우저 안에서 무작위로 만들어지며 서버로 전송·저장되지 않습니다. 사람이 떠올리는 비밀번호보다 예측이 어렵고, 만든 즉시 안전한 곳(비밀번호 관리자 등)에 저장해 쓰면 됩니다.