비밀번호 보안 가이드
비밀번호 보안이 중요한 이유
디지털 시대에 비밀번호는 개인정보, 금융자산, 업무 데이터를 보호하는 첫 번째 방어선입니다. 2023년 기준 전 세계 데이터 유출 사고의 80% 이상이 약한 비밀번호 또는 비밀번호 재사용과 관련이 있습니다. 한국에서도 매년 수천만 건의 개인정보 유출 사고가 발생하며, 강력한 비밀번호 설정은 가장 기본적이면서도 효과적인 보안 수단입니다.
엔트로피란?
엔트로피(Entropy)는 비밀번호의 무작위성을 측정하는 단위로, 비트(bit)로 표현됩니다. 엔트로피가 높을수록 비밀번호를 추측하기 어렵습니다.
엔트로피 계산 공식:
엔트로피 = log₂(가능한 문자 수) × 비밀번호 길이
| 문자 종류 | 가능한 문자 수 | 문자당 엔트로피 |
|---|---|---|
| 숫자만 | 10 | 3.32비트 |
| 소문자만 | 26 | 4.70비트 |
| 소문자 + 대문자 | 52 | 5.70비트 |
| 소문자 + 대문자 + 숫자 | 62 | 5.95비트 |
| 전체 (특수문자 포함) | 90+ | 6.50비트+ |
엔트로피별 보안 등급:
- 28비트 미만: 매우 약함 — 일반 PC로 수초 내 크랙 가능
- 28~35비트: 보통 — 단순한 공격에는 버틸 수 있으나 권장하지 않음
- 36~59비트: 강함 — 일반적인 용도에 적합
- 60비트 이상: 매우 강함 — 중요 계정에 권장
강력한 비밀번호 만드는 팁
1. 길이가 가장 중요합니다 12자 이상의 비밀번호는 8자 비밀번호보다 수백만 배 더 안전합니다. "S3cure!" (7자, 41비트)보다 "correcthorsebattery" (20자, 94비트)가 훨씬 안전합니다.
2. 패스프레이즈(Passphrase) 활용 기억하기 쉬우면서도 안전한 방법으로, 무관한 단어 4~5개를 조합하세요. 예: "보라색코끼리달리기사과" — 길고 기억하기 쉽지만 추측은 어렵습니다.
3. 문자 종류를 다양하게 대문자, 소문자, 숫자, 특수문자를 모두 포함하면 같은 길이에서도 엔트로피가 크게 증가합니다.
4. 사이트마다 고유한 비밀번호 하나의 사이트가 해킹당해도 다른 계정은 안전하게 유지됩니다. 비밀번호 관리자를 사용하면 수십 개의 고유 비밀번호를 쉽게 관리할 수 있습니다.
주요 공격 방식
1. 무차별 대입 공격 (Brute Force) 모든 가능한 조합을 순서대로 시도합니다. GPU 클러스터를 사용하면 초당 수십억 개의 해시를 시도할 수 있어, 짧은 비밀번호는 수 분 내에 뚫릴 수 있습니다.
2. 사전 공격 (Dictionary Attack) 일반적인 단어, 이름, 날짜 등의 목록을 사용하여 시도합니다. "password123", "admin2024" 같은 비밀번호는 사전 공격에 매우 취약합니다.
3. 크리덴셜 스터핑 (Credential Stuffing) 유출된 이메일/비밀번호 조합을 다른 사이트에 대입합니다. 비밀번호 재사용이 이 공격을 가능하게 만듭니다.
4. 피싱 (Phishing) 가짜 웹사이트나 이메일로 비밀번호를 직접 입력하도록 유도합니다. 2단계 인증(2FA)을 사용하면 피싱 피해를 줄일 수 있습니다.
비밀번호 관리 권장사항
- 비밀번호 관리자 사용 — 1Password, Bitwarden 등으로 사이트별 고유 비밀번호 관리
- 2단계 인증(2FA) 활성화 — 가능한 모든 계정에 적용
- 유출 여부 확인 — Have I Been Pwned(haveibeenpwned.com)에서 정기적으로 확인
- 마스터 비밀번호는 패스프레이즈로 — 기억하기 쉽고 길게 (20자 이상 권장)
- 공용 컴퓨터에서 로그인 자제 — 키로거 등의 위험이 있음
※ 이 생성기는 참고용이며, 생성된 비밀번호를 안전하게 관리하는 것은 사용자의 책임입니다.