안전한 비밀번호 만들기 가이드
해킹은 생각보다 가까이 있습니다. 강력한 비밀번호와 간단한 습관만으로 대부분의 계정 피해를 예방할 수 있습니다.
비밀번호가 왜 이렇게 중요한 건지부터 이야기하겠습니다
"나는 해킹당할 일 없어"라고 생각하는 분들이 많습니다. 하지만 해킹은 특정 사람을 노리는 게 아니라, 약한 비밀번호를 가진 계정을 자동으로 찾아내는 방식으로 이루어집니다. 프로그램이 초당 수십억 개의 비밀번호 조합을 시도하는데, "password123"이나 "qwer1234" 같은 비밀번호는 1초도 안 걸려서 뚫립니다.
실제로 매년 수억 건의 계정 정보가 유출됩니다. 한 서비스에서 유출된 이메일과 비밀번호 조합을 다른 서비스에 그대로 넣어보는 공격(크리덴셜 스터핑)이 가장 흔한 해킹 방법 중 하나입니다. 네이버 비밀번호가 유출됐는데 같은 비밀번호로 은행 앱에 로그인하고 있었다면, 피해가 연쇄적으로 번질 수 있습니다.
좋은 비밀번호의 3가지 원칙
복잡하게 생각할 필요 없습니다. 좋은 비밀번호의 핵심은 딱 세 가지입니다.
- 길이가 길어야 합니다: 12자 이상, 가능하면 16자 이상이 좋습니다. 8자짜리 비밀번호는 아무리 복잡해도 현대 컴퓨터로 몇 시간이면 풀 수 있습니다. 반면 16자 이상이면 현실적으로 풀기가 거의 불가능합니다. 길이가 가장 중요한 요소입니다.
- 서비스마다 달라야 합니다: 하나의 비밀번호를 여러 곳에서 쓰면, 한 곳이 뚫리는 순간 전부 위험해집니다. 귀찮더라도 서비스마다 다른 비밀번호를 쓰는 게 맞습니다. 뒤에서 설명할 비밀번호 관리자를 쓰면 이 부분이 훨씬 편해집니다.
- 예측할 수 없어야 합니다: 생일, 전화번호, 이름, 반려동물 이름 같은 개인정보는 SNS에서 쉽게 알아낼 수 있습니다. "사전 공격"이라고 해서 사전에 있는 단어를 조합해서 시도하는 방법도 있으니, 의미 있는 단어 하나만으로는 부족합니다.
패스프레이즈: 기억하기 쉽고 강력한 방법
"Xk9#mP2$vL" 같은 비밀번호는 강력하긴 한데, 외울 수가 없습니다. 그래서 결국 메모장에 적어두거나, 간단한 비밀번호로 돌아가게 됩니다. 이런 문제를 해결하는 방법이 패스프레이즈입니다.
패스프레이즈는 여러 단어를 조합한 긴 문장 형태의 비밀번호입니다. 예를 들어 "BlueCoffee!7Morning"이나 "산책하는고양이#3마리"처럼 만들면 기억하기도 쉽고 길이도 충분합니다. 핵심은 서로 관련 없는 단어를 조합하는 겁니다. "나는학생입니다"처럼 자연스러운 문장은 추측하기 쉬우니 피하세요.
여기에 숫자나 특수문자를 하나씩 끼워넣으면 대부분의 서비스 비밀번호 정책도 충족할 수 있습니다. "파란커피!7아침산책"처럼 만들면 20자가 넘으면서도 외우기 어렵지 않습니다.
절대 쓰면 안 되는 비밀번호 패턴
매년 발표되는 "가장 많이 쓰이는 비밀번호" 목록을 보면 놀랍습니다. "123456", "password", "qwerty" 같은 비밀번호가 여전히 상위권입니다. 생일(19950101), 전화번호 뒷자리, 키보드 패턴(1q2w3e4r), 반복 문자(aaaaaa), 이름+생년(minsu1995) 같은 조합은 공격자가 가장 먼저 시도하는 패턴입니다. 본인은 독특하다고 생각해도, 같은 패턴을 쓰는 사람이 수백만 명입니다.
비밀번호 관리자, 써야 할까요?
서비스마다 다른 비밀번호를 쓰라고 하면 "그걸 어떻게 다 외워?"라는 반응이 당연합니다. 솔직히 수십 개의 비밀번호를 머릿속에 기억하는 건 불가능합니다. 그래서 비밀번호 관리자(Password Manager)가 필요합니다.
비밀번호 관리자는 모든 비밀번호를 암호화해서 저장하고, 로그인할 때 자동으로 입력해주는 프로그램입니다. 사용자는 하나의 마스터 비밀번호만 기억하면 됩니다. 이 마스터 비밀번호만 충분히 강력하게 만들면, 나머지는 앱이 알아서 관리해줍니다.
"비밀번호를 한 곳에 모아두면 더 위험한 거 아닌가?"라고 걱정할 수 있습니다. 하지만 신뢰할 수 있는 비밀번호 관리자는 군사 수준의 암호화를 사용하고, 마스터 비밀번호 없이는 데이터를 복호화할 수 없는 구조입니다. 모든 곳에 같은 비밀번호를 쓰는 것보다 훨씬 안전합니다.
2단계 인증, 반드시 켜세요
아무리 강력한 비밀번호를 만들어도, 유출되면 소용없습니다. 이때 마지막 방어선이 되는 게 2단계 인증(2FA)입니다. 비밀번호를 입력한 후 추가로 인증 코드를 요구하는 방식인데, 이 코드는 본인의 폰이나 인증 앱에서만 확인할 수 있습니다.
비밀번호가 유출되더라도 2단계 인증이 켜져 있으면 공격자가 로그인할 수 없습니다. 구글, 네이버, 카카오 등 대부분의 주요 서비스에서 2단계 인증을 지원합니다. 설정하는 데 2분이면 충분하고, 한번 켜두면 계정 보안이 크게 올라갑니다.
- SMS 인증: 문자로 코드를 받는 방식입니다. 가장 간단하지만, SIM 스와핑 공격에는 취약할 수 있습니다.
- 인증 앱: Google Authenticator나 Microsoft Authenticator 같은 앱을 사용합니다. SMS보다 안전하고, 인터넷 없이도 작동합니다.
- 보안 키: USB나 NFC 방식의 물리적 키입니다. 가장 안전하지만 별도 구매가 필요합니다.
이런 상황에서 특히 조심하세요
비밀번호를 아무리 잘 만들어도, 사용 환경이 안전하지 않으면 의미가 없습니다. 다음 상황들은 특히 주의가 필요합니다.
- 피싱 메일과 문자: "비밀번호를 변경해주세요"라는 메일이 오면 링크를 바로 클릭하지 마세요. 발신자 주소를 확인하고, 가능하면 직접 해당 사이트에 접속해서 확인하는 게 안전합니다. 최근에는 택배 알림, 정부 기관 사칭 문자도 많으니 URL을 꼭 확인하세요.
- 공용 PC와 공공 와이파이: 카페나 도서관 PC에서 로그인할 때는 반드시 시크릿 모드를 사용하고, 끝나면 로그아웃하세요. 공공 와이파이에서는 중요한 로그인을 피하는 게 좋습니다. 어쩔 수 없다면 VPN을 사용하세요.
- 중요 계정은 더 강력하게: 모든 계정의 보안 수준이 같을 필요는 없습니다. 이메일, 은행, 클라우드 저장소처럼 피해가 큰 계정은 가장 강력한 비밀번호와 2단계 인증을 적용하세요. 이메일이 뚫리면 다른 서비스의 비밀번호 재설정까지 가능해지기 때문에, 이메일 보안이 사실상 가장 중요합니다.
- 비밀번호 유출 확인: 본인의 이메일이 유출된 적 있는지 확인해보세요. 유출 이력이 있다면 해당 서비스의 비밀번호를 즉시 변경하고, 같은 비밀번호를 쓰는 다른 서비스도 함께 바꿔야 합니다.
비밀번호 유출이 의심될 때
갑자기 로그인 알림이 오거나, 본인이 보내지 않은 메일이 발송됐거나, 서비스에서 "다른 기기에서 로그인됨" 알림이 뜨면 즉시 비밀번호를 변경하세요. 같은 비밀번호를 쓰는 다른 서비스도 반드시 함께 변경해야 합니다.
ChakCheck 비밀번호 생성기 활용법
강력한 비밀번호를 직접 만들려면 매번 머리를 써야 합니다. ChakCheck 비밀번호 생성기를 사용하면 원하는 조건에 맞는 비밀번호를 즉시 만들 수 있습니다. 브라우저에서 로컬로 작동하기 때문에 생성된 비밀번호가 서버로 전송되지 않아 안전합니다.
길이, 대소문자 포함 여부, 숫자와 특수문자 포함 여부를 선택할 수 있어서 각 서비스의 비밀번호 정책에 맞춰 생성할 수 있습니다. 생성된 비밀번호는 복사 버튼으로 바로 클립보드에 복사할 수 있습니다.
- 길이를 12자 이상으로 설정합니다. 16자 이상을 권장합니다.
- 대문자, 소문자, 숫자, 특수문자를 적절히 포함합니다.
- 생성된 비밀번호를 비밀번호 관리자에 안전하게 저장합니다.
마무리
비밀번호 보안은 거창한 기술이 아니라 작은 습관의 문제입니다. 강력한 비밀번호를 만들고, 서비스마다 다르게 쓰고, 2단계 인증을 켜는 것. 이 세 가지만 지켜도 대부분의 계정 피해를 막을 수 있습니다. 오늘 가장 중요한 계정부터 하나씩 점검해보세요.