비밀번호를 바꾸라는 알림이 뜰 때마다 기존 비밀번호 뒤에 숫자 1을 붙이는 사람이 꽤 많다. password1, password2, password3. 해커 입장에서 이건 사실상 같은 비밀번호다.
어떤 비밀번호가 위험한가
보안 업체 NordPass가 매년 발표하는 "가장 많이 쓰이는 비밀번호" 목록을 보면 123456, qwerty, password 같은 조합이 여전히 상위권이다. 이런 비밀번호는 자동화된 사전 공격에 1초도 안 걸려 뚫린다.
- ✗ 생년월일, 전화번호 그대로 사용
- ✗ 영어 단어 한 개 (apple, samsung 등)
- ✗ 키보드 연속 배열 (qwerty, asdfgh)
- ✗ 같은 비밀번호를 여러 사이트에 돌려쓰기
안전한 비밀번호의 조건
길이와 조합, 두 가지가 핵심이다.
- 12자리 이상 — 8자리 비밀번호는 GPU 기반 크래킹으로 수 시간 안에 뚫릴 수 있다. 12자리 이상부터 현실적으로 해독이 어려워진다.
- 4종 문자 조합 — 영문 대문자 + 소문자 + 숫자 + 특수문자를 섞는다. 종류가 많을수록 경우의 수가 기하급수적으로 늘어난다.
- 랜덤 배열 — 사람이 만든 패턴에는 규칙이 있다. 무작위로 생성된 문자열이 가장 예측하기 어렵다.
예시
취약: mycat2024 (영소문자+숫자, 9자리)
양호: T#9kL2!vXp4m (4종 조합, 12자리)
직접 만들기 어려우면
조건에 맞는 비밀번호를 머리로 짜내는 건 한두 번은 괜찮지만, 사이트가 수십 개면 한계가 온다. 랜덤 비밀번호 생성기를 쓰면 길이와 포함할 문자 종류를 선택하고 버튼 한 번으로 비밀번호가 만들어진다. 암호학적으로 안전한 난수 알고리즘을 쓰기 때문에 사람이 짠 조합보다 예측 가능성이 낮다.
생성된 비밀번호는 클립보드에 바로 복사할 수 있고, 최근 생성 기록도 브라우저에 임시 저장되니 여러 사이트 비밀번호를 연달아 바꿀 때 편하다.
비밀번호 관리까지 생각해야 한다
아무리 강한 비밀번호를 만들어도 메모장이나 포스트잇에 적어두면 소용없다. 비밀번호 관리자(1Password, Bitwarden 등)를 쓰거나, 최소한 잠금이 걸린 메모 앱에 저장하는 습관을 들이자. 브라우저 내장 비밀번호 저장 기능도 없는 것보다는 낫지만, 공용 PC에서는 반드시 끄고 써야 한다.
비밀번호 하나 털리면 같은 비밀번호를 쓰는 다른 계정까지 연쇄로 위험해진다. 사이트마다 다른 비밀번호를 쓰는 것, 귀찮지만 지금 당장 가장 효과적인 보안 습관이다.