2026년 비밀번호 보안: 실제로 효과 있는 것들
기본을 넘어서 — 현대의 비밀번호 공격이 어떻게 작동하는지, 복잡성 규칙이 왜 실패하는지, 그리고 오늘날 계정을 진정으로 보호하는 방법은 무엇인지 알아봅니다.
조언은 20년째 변하지 않았습니다: 강력한 비밀번호를 사용하라. 하지만 위협 환경은 극적으로 변했습니다. 2026년 현재 실제로 효과 있는 것들과, 기존 규칙이 종종 통하지 않는 이유를 알아보겠습니다.
비밀번호가 유출되는 방법
공격 방식을 이해해야 방어도 가능합니다:
크리덴셜 스터핑(Credential stuffing) — 공격자가 한 번의 침해로 유출된 사용자명/비밀번호 쌍(수십억 건이 공개 데이터베이스에 존재)을 다른 사이트에 시도합니다. 비밀번호를 재사용한다면, 한 번의 침해로 모든 것이 위험에 처합니다.
무차별 대입(Brute force) — 모든 조합을 체계적으로 시도합니다. 길고 무작위한 비밀번호에는 비현실적이지만, 짧거나 패턴 기반의 비밀번호에는 매우 효과적입니다.
사전 공격(Dictionary attacks) — 흔한 비밀번호와 그 변형 목록을 사용합니다(password, P@ssw0rd, password123). 이러한 패턴을 만들어내는 복잡성 규칙은 거짓된 보안을 제공할 뿐입니다.
피싱(Phishing) — 가짜 사이트에 비밀번호를 입력하도록 속입니다. 비밀번호 강도가 아무리 높아도 소용없습니다.
크리덴셜 유출(Credential leaks) — 침해된 서비스의 데이터베이스. haveibeenpwned.com에서 자신의 이메일이 알려진 침해 사고에 포함되어 있는지 확인하세요.
복잡성 규칙이 실패하는 이유
"대문자, 소문자, 숫자, 기호를 포함해야 한다"는 고전적인 규칙은 예측 가능한 패턴을 만들어냅니다:
Summer2024!— 모든 규칙을 충족하지만 사전 공격으로 몇 초 만에 해독됨Correct!Horse2#— 같은 문제
이 규칙들은 인간이 기억할 수 있는 비밀번호를 위해 설계되었습니다. 사람들이 동일한 패턴을 따르기 때문에 실패합니다. 규칙 자체가 공격 벡터가 됩니다.
길이가 실제로 하는 역할
2024년 비밀번호 해독 속도(GPU 기반, bcrypt 해시):
| 길이 | 문자 집합 | 해독 시간 |
|---|---|---|
| 8자 | 소문자만 | 수 초 |
| 8자 | 혼합 + 기호 | 수 분~수 시간 |
| 12자 | 혼합 + 기호 | 수 개월 |
| 16자 | 혼합 + 기호 | 수 세기 |
| 20자 | 소문자만 | 여전히 수 세기 |
길이가 복잡성을 이깁니다. 20자 소문자 비밀번호는 8자짜리 "복잡한" 비밀번호보다 강합니다. 문자 하나가 추가될 때마다 탐색 공간이 배수로 늘어납니다.
Diceware: 기억하기 쉽고 강력한 비밀번호
Diceware는 무작위로 선택된 단어들로 패스프레이즈를 생성합니다:
correct-horse-battery-staple
이 4단어 구문은:
- 기억하기 쉽습니다 — 실제로 떠올릴 수 있습니다
- 강력합니다 — EFF 단어 목록의 일반 단어 4개는 약 51비트의 엔트로피를 제공합니다
- 입력이 빠릅니다 — 특수문자를 찾을 필요가 없습니다
5번째 단어를 추가하면 약 64비트로 올라가며, 대부분의 "복잡한" 12자 비밀번호보다 강력하고 훨씬 기억하기 쉽습니다.
저희 Diceware Password Generator를 사용해 보세요 — 암호학적 무작위성과 EFF 단어 목록을 활용합니다.
그 외 모든 곳에는 무작위 비밀번호를
비밀번호를 직접 입력할 필요가 없는 계정(전체 사이트의 90%)에는 비밀번호 관리자가 완전히 무작위한 비밀번호를 생성하고 저장합니다:
K7#mP2xQnL9vR4tY
이것을 보거나 입력할 필요가 없습니다. 관리자가 자동으로 입력합니다. 저희 Password Generator는 길이와 문자 집합을 설정하여 이러한 비밀번호를 생성합니다.
필수 규칙: 사이트마다 고유한 비밀번호 하나, 끝. 재사용은 비밀번호 보안에서 가장 큰 실수입니다.
비밀번호 강도 확인
모든 강도 측정 도구가 동일하지는 않습니다. 좋은 도구는 다음을 평가합니다:
- 엔트로피 (실질적인 무작위성), 단순한 규칙 준수 여부가 아닌
- 패턴 감지 —
P@ssw0rd는 복잡성 규칙을 충족함에도 낮은 점수를 받음 - 사전 포함 여부 — 알려진 취약 비밀번호인지 여부
저희 Password Strength Checker는 Dropbox가 개발한 라이브러리인 zxcvbn을 사용합니다 — 체크박스를 확인하는 방식이 아니라 현실적인 공격을 모델링합니다.
이중 인증 (2FA)
중요한 계정에 2FA를 활성화하는 것은 취할 수 있는 보안 조치 중 단일 효과가 가장 큰 것입니다. 비밀번호가 유출되더라도 두 번째 인증 수단 없이는 로그인할 수 없습니다.
TOTP (시간 기반 일회용 비밀번호) — Google Authenticator 같은 앱이 30초마다 변경되는 6자리 코드를 생성합니다. 저희 TOTP Generator를 사용하면 비밀 키로 TOTP 흐름을 테스트할 수 있습니다.
2FA 우선 적용 계정:
- 이메일 (다른 모든 계정의 복구를 관장)
- 비밀번호 관리자
- 은행 및 금융 계정
- 업무 계정
SSH 및 RSA 키: 기계를 위한 비밀번호
서버 접근 및 API 인증에는 비밀번호 대신 키 쌍을 사용하세요:
- SSH 키 — Ed25519 키는 서버 접근을 위한 현대적 표준입니다. 저희 SSH Key Generator로 생성하세요.
- RSA 키 — 암호화, 서명, 레거시 시스템에 사용됩니다. 저희 RSA Key Generator로 2048비트 또는 4096비트 키 쌍을 생성하세요.
키는 입력하기에 너무 길고, 추측하기에는 너무 무작위하며, 네트워크를 통해 전송되지 않기 때문에 비밀번호보다 근본적으로 더 강력합니다.
요약
영향력 순서로 정리한 보안 계층:
- 사이트마다 고유한 비밀번호 — 비밀번호 관리자 사용
- 길고 무작위하게 — 입력용 비밀번호는 16자 이상, 기억해야 할 경우 diceware 사용
- 중요한 계정에 2FA — 특히 이메일
- 침해 노출 여부 확인 — 유출된 비밀번호는 즉시 변경
복잡성 규칙, 주기적 강제 변경, 보안 질문은 시대에 뒤떨어진 보안 퍼포먼스에 불과합니다. 길이, 고유성, 2FA가 실제로 여러분을 보호합니다.