안전한 비밀번호 만들기 - 길이·복잡성·관리법 가이드

비밀번호는 가장 단순한 보안 도구이지만 가장 자주 뚫리는 약점이기도 해요. 단순한 패턴, 짧은 길이, 재사용 같은 흔한 실수가 큰 사고로 이어집니다. 안전한 비밀번호 만들기와 관리법을 정리했어요.

길이가 복잡성보다 중요

과거에는 "대문자 + 숫자 + 특수문자 8자 이상"이 표준이었지만, 최신 NIST 가이드라인은 "길이 12~16자 이상"을 더 강조해요. 길이가 길수록 무차별 대입(brute force) 공격에 걸리는 시간이 기하급수적으로 증가합니다. 8자 비밀번호는 몇 시간이면 깨지지만 16자 비밀번호는 수십억 년이 필요해요. 비밀번호 생성기에서 안전한 비밀번호를 자동 생성할 수 있어요.

절대 사용하지 말아야 할 패턴

사용 금지 패턴은 ① 사전에 있는 단어(password, qwerty) ② 본인 정보(생일, 전화번호) ③ 키보드 패턴(asdf, 1234) ④ 단순 반복(aaaa) ⑤ 가족·반려동물 이름이에요. 이런 패턴은 사전 공격(dictionary attack)으로 1초 안에 깨질 수 있어요.

패스프레이즈 - 외우기 좋은 긴 비밀번호

4~5개의 무관한 단어를 조합한 "패스프레이즈"는 길이가 길면서도 외우기 좋아요. 예: "horse battery staple correct". 28자에 의미 없는 조합이라 사전 공격으로도 못 깨고, 사용자 본인은 시각적으로 외우기 쉽습니다.

사이트별 다른 비밀번호

같은 비밀번호를 모든 사이트에 사용하면 한 곳에서 유출되면 모두 위험해져요. 한 사이트의 데이터베이스가 해킹되면 그 이메일+비밀번호 조합으로 다른 사이트에 자동 로그인을 시도하는 "크리덴셜 스터핑" 공격이 일반적입니다. 사이트별 다른 비밀번호가 핵심이에요.

비밀번호 관리 앱 활용

수십 개의 비밀번호를 모두 외울 수는 없으니 비밀번호 관리 앱(1Password, Bitwarden, KeePass)을 활용하세요. 마스터 비밀번호 하나만 외우면 모든 사이트의 비밀번호가 자동 입력돼요. 또 자동 생성·강도 평가·유출 모니터링까지 제공되어 보안 수준이 크게 올라갑니다.

2단계 인증 (2FA)

비밀번호가 유출되어도 2단계 인증이 활성화되어 있으면 안전해요. 가장 안전한 방법은 ① 하드웨어 키(YubiKey) ② 앱 OTP(Google Authenticator, Authy) ③ SMS OTP 순이에요. SMS OTP는 SIM swap 공격에 취약하므로 가능하면 앱 OTP를 사용하세요. 보안·암호 가이드에서 2FA 설정 방법을 확인할 수 있어요.

비밀번호 변경 주기

과거에는 "3개월마다 변경"이 표준이었지만, 최신 가이드라인은 "의심스러울 때만 변경"으로 바뀌었어요. 강제 변경은 사용자가 단순 패턴(Pass1, Pass2, Pass3)을 만들게 해 오히려 보안이 약해집니다. 충분히 강한 비밀번호 + 2FA가 강제 변경보다 더 효과적이에요.

유출 모니터링

Have I Been Pwned(haveibeenpwned.com)에서 본인 이메일·비밀번호의 유출 여부를 확인할 수 있어요. 매년 한 번 점검하고, 유출된 경우 즉시 해당 사이트 비밀번호를 변경하세요. 1Password·Bitwarden 같은 관리 앱은 이 기능을 자동 모니터링해 줘요.