안전한 비밀번호 만드는 법 - 엔트로피·패스프레이즈·관리 팁

비밀번호는 어떻게 뚫리는가?

해커가 비밀번호를 알아내는 방법은 영화에서 본 것처럼 한 글자씩 추측하는 게 아닙니다. 가장 흔한 공격은 유출된 비밀번호 데이터베이스예요. 어딘가에서 한 번 유출된 이메일·비밀번호 조합이 다크웹에 떠돌고, 공격자는 그 목록을 다른 사이트(쇼핑몰·SNS·이메일)에 자동으로 대입해 로그인을 시도합니다(크리덴셜 스터핑). 두 번째는 딕셔너리 공격이에요. password123, qwerty, iloveyou, 1q2w3e4r 같은 흔한 패턴 수만 개를 자동화된 도구로 빠르게 시도합니다. 세 번째가 무차별 대입(brute force) 인데, 짧은 비밀번호는 GPU 한 대로 몇 초~몇 분이면 모든 조합을 시도할 수 있어요. 즉 비밀번호의 안전성은 길이와 예측 가능성에 달려 있고, 짧고 흔한 패턴은 자동화된 공격에 거의 무방비입니다.

엔트로피로 따져보는 비밀번호 강도

비밀번호의 강도는 엔트로피(entropy)라는 개념으로 수치화됩니다. 엔트로피는 비밀번호가 가질 수 있는 가능한 조합의 비트 수를 의미해요. 길이 L, 사용 가능한 문자 종류 N이라면 엔트로피는 log2(N의 L제곱)로 계산됩니다.

• 영문 소문자만 8자(N=26): 약 38비트 — 1초도 안 걸려 뚫림
• 영문 대소문자+숫자 8자(N=62): 약 48비트 — 몇 시간이면 뚫림
• 영문 대소문자+숫자+기호 12자(N=94): 약 79비트 — 수년간 뚫기 어려움
• 영문 대소문자+숫자+기호 16자: 약 105비트 — 사실상 안전

업계에서는 80비트 이상을 안전한 비밀번호로 봅니다. 짧게 만들면서 기호만 추가하는 것보다, 길이를 늘리는 게 엔트로피를 빠르게 키우는 방법이에요.

길이가 가장 중요하다 - 패스프레이즈의 힘

복잡한 기호를 외우는 건 어렵지만, 긴 문장을 외우는 건 상대적으로 쉽습니다. 그래서 최근에는 패스프레이즈(passphrase) 가 권장돼요. 무작위 단어 4~6개를 이어붙인 형태입니다. 예를 들어 horse-correct-battery-staple은 28자로 매우 길고, 영어 단어 사전이 약 2만 개라고 할 때 4단어 조합의 엔트로피는 약 56비트, 6단어면 약 84비트가 됩니다. 사람이 외우기는 쉬운 반면 자동화 공격에는 매우 강해요. 한국어로는 노을-구름-우산-자전거처럼 명사 4~5개를 이어붙이고, 사이에 숫자·기호 한 개씩 끼우면 더 강해집니다. 핵심은 단어들이 서로 무관해야 한다는 점이에요. love-you-forever-baby처럼 흔히 같이 쓰이는 표현은 사전 공격에 잡힙니다.

절대 쓰지 말아야 할 패턴들

다음 패턴은 거의 모든 딕셔너리 공격에 들어 있어 즉시 뚫립니다.

• 개인정보 활용: 생일, 전화번호, 본인·가족 이름, 학교, 회사. SNS만 봐도 다 알 수 있어요.
• 연속된 문자/숫자: 12345678, qwerty, asdfasdf, abcd1234.
• 흔한 단어 + 숫자: password1, admin123, hello!.
• 사이트 이름 변형: facebook!, google2024!. 사이트 이름 자체가 들어가면 더 위험해요.
• 한 사이트의 비밀번호를 다른 곳에 재사용: 한 번 유출되면 모든 계정이 동시에 털립니다. 가장 위험한 습관입니다.

특히 비밀번호 재사용은 너무 흔한데, 한 번이라도 유출이 있었다면 그 조합으로 모든 사이트가 시도됩니다.

비밀번호 관리자 - 인간이 모든 비밀번호를 외울 수는 없다

사이트마다 다른 강력한 비밀번호를 쓰는 게 정답이지만, 사람이 이걸 다 외울 수는 없어요. 그래서 비밀번호 관리자(1Password, Bitwarden, KeePass, iCloud 키체인 등)를 쓰는 게 표준입니다. 마스터 비밀번호 하나만 외우고, 사이트마다 자동으로 강력한 비밀번호를 생성·저장·자동 입력하게 하는 거예요. 한 곳에 다 모아두면 위험하지 않나 하는 우려가 있지만, 마스터 비밀번호를 강하게 만들고 2단계 인증을 걸어두면 사이트별 약한 비밀번호를 재사용하는 것보다 훨씬 안전합니다. Bitwarden은 무료 버전도 매우 강력하니, 처음 시작하기 좋아요.

2단계 인증으로 한 번 더 막기

비밀번호가 유출되더라도 2단계 인증(2FA) 이 켜져 있으면 공격자가 로그인을 완료할 수 없습니다. SMS·이메일 코드보다는 인증 앱(Google Authenticator, Authy, 1Password) 또는 하드웨어 키(YubiKey) 를 쓰는 게 안전해요. SMS는 가로채일 수 있는 사례가 보고되었습니다. 중요한 계정(이메일, 은행, SNS, 깃허브)은 반드시 2단계 인증을 켜두세요. 이메일 계정만 안전하면 다른 사이트의 비밀번호 재발급도 막을 수 있어, 가장 우선순위로 보호해야 합니다.

도구로 강력한 비밀번호 만들기

툴박스의 비밀번호 생성기는 길이·문자 종류·숫자 포함 여부를 지정해 무작위 비밀번호를 즉시 생성합니다. 12자 이상에 영문 대소문자·숫자·기호를 모두 포함하도록 설정하면 80비트 이상의 엔트로피를 가진 안전한 비밀번호가 나와요. 직접 외우려는 것보다는 비밀번호 관리자에 저장해두는 용도로 사용하세요. 마스터 비밀번호는 패스프레이즈 형태로 직접 만들고, 그 외 사이트별 비밀번호는 도구로 생성·관리자가 저장하는 흐름이 가장 안전합니다.