How-To : 비밀번호 유출을 최소화하는 8가지 방법

비밀번호를 새로 만드는 것은 언제 복잡하고 번거로운 과정이다. 특히 요즘은 비밀번호에 대문자 및 소문자, 숫자, 특수 문자를 무조건 써야 하는 경우가 많기에, 비밀번호를 설정하는 것도 암기하는 것도 모두 어렵다. 다음은 안전한 비밀번호를 구성하는 방법과 이를 쉽게 관리할 방법을 설명한 내용이다. 비밀번호를 잊어버려서 매번 로그인에 실패하는 사용자 그리고 비밀번호 유출을 최소화하고 싶은 사용자에게 유용할 것이다.  
 

 

1. 똑같은 비밀번호를 여러 서비스에서 쓰지 말기

많이 알려진 원칙이지만 너무 중요한 내용이기에 한 번 더 강조하겠다. 실제로 아직도 똑같은 암호를 여러 번 돌려쓰는 사용자는 엄청나게 많다. 똑같은 비밀번호를 쓰면 당연히 기억하기는 쉽지만, 그만큼 한번 비밀번호가 유출됐을 때 해킹 피해가 커진다. 특히 로그인 과정에서 입력하는 아이디나 이메일 주소까지 똑같은 것으로 계속 사용한다면 해킹 위험성은 더욱 커진다. 물론 누구나 이전에 썼던 암호를 다시 한번 더 쓰고 싶은 마음이 들 것이다. 그럼에도 보안성을 최대한 높이려면 계정마다 서로 다른 암호를 써야 한다.

결제 서비스 업체 도조(Dojo)의 최고 정보 보안 책임자인 나비드 이슬람은 “비밀번호는 이메일 확인부터 온라인 뱅킹에 이르기까지 웹 기반 서비스 곳곳에서 사용되는 디지털 키다. 온라인 서비스가 급증하면서, 비밀번호를 사용하는 경우는 더 많아졌다. 그러다 보니 관리하는 비밀번호 수가 과도하게 늘어나면서 일종의 ‘비밀번호 피로’까지 발생했다. 비밀번호 피로감을 줄이기 위해 사람들은 여러 웹사이트에서 동일한 비밀번호를 재사용한다. 거기다 간단하고 예측 가능한 비밀번호도 만들고 있다. 해커는 이러한 취약점을 공략해서 개인정보를 탈취하고 있다”라고 지적했다. 높은 보안성과 편리함을 둘 다 얻기는 분명 어려운 일이다. 그래도 다음 제안 사항을 준수한다면 해킹 위험을 최소화할 수 있다. 
 

2. 추측하기 쉬운 신상 정보는 사용하지 말기

비밀번호를 설정할 때 사람들은 일반적으로 생일, 반려동물 이름, 부모님 성함 같은 내용을 조합한다. 개인적인 정보가 담겨 있어서 외부에서 추측하기 어려운 비밀번호라고 생각할 수 있지만, 하실 해커가 마음 먹고 집요하게 비밀번호를 알려고 한다면 얘기가 달라진다. 사람들이 비밀번호 찾기에서 사용되는 질문이나 소셜 네트워크에서는 생일이나 주변 가족 정보를 쉽게 입력해 놓기 때문이다. 인터넷상에 이런 정보가 있다면, 해커도 분명 찾아낼 수 있다. 따라서 암호는 개인과 연관된 정보보다는 무작위 형태로 만드는 것이 좋다. 
 

3. 인기 비밀번호는 절대 쓰지 말기

보안 업계는 매년 가장 많이 쓰이는 비밀번호 형태를 통계 형태로 공개한다. 안타깝게도 매년 비슷한 비밀번호가 나온다. 비밀번호 관리 프로그램 업체인 대시레인(Dashlane)의 자료에 따르면, 2022년에 미국에서 가장 일반적으로 사용된 비밀번호 목록은 다음과 같다. 절대 쓰면 안 되는 비밀번호다. 만약 쓰고 있다면 지금 당장 비밀번호를 바꾸자.
 

• Password
• 123456
• 123456789
• 12345678
• 1234567
• Password1
• 12345
• 1234567890
• 1234
• Qwerty123

4. 특정 주제와 관련된 단어 피하기

2번째 항목에서 미리 언급했듯이 비밀번호는 무작위 형태이면서 사용자의 취향이나 선호도가 들어가지 않는 것이 좋다. 이 원칙만 지켜도 해커가 몰래 알아낸 개인 정보로 비밀번호를 유추하는 일은 방지할 수 있다.

도조는 2022년 자체적인 연구를 통해 전 세계적으로 자주 해킹되는 암호와 해당 암호와 관련 주제를 분류해 공개했다. 가장 많이 해킹되는 비밀번호는 보통 반려동물 이름 또는 애칭/ 이름 / 동물/ 감정 / 음식 / 색상 / 비속어 / 행동 / 가족 구성원 / 자동차 브랜드 등과 관련된 단어였다. 따라서 더 좋고 안전한 암호를 만들고 싶다면 이런 주제의 단어는 사용하지 말자. 
 

5. 2단계 인증 사용하기

2단계 인증 로그인은 최근 많은 웹 서비스에서 지원한다. 2단계 인증은 인증 코드를 문자로 받아서 입력하거나 특정 인증 앱을 사용하는 식으로 이용할 수 있다. 2단계 인증 장점은 설령 해커가 비밀번호를 알고 있어도 해킹하기 위해 실제로 스마트 기기가 있어야 한다는 점이다. 해커 입장에서 해킹 난이도가 올라가는 것이다. 번거롭지만 잠재적으로 취약한 비밀번호를 보호하기 위해선 분명 필요한 조치다. 
 

6. 강력한 암호를 만드는 팁 적용하기

암호를 더 안전하게 만들려면 대문자와 소문자, 특수 문자(예: $%^&) 및 숫자를 많이 섞자. 비밀번호 첫 글자가 숫자여도 좋다. 비밀번호 앞쪽은 일반적으로 유명한 문구, 가사, 개인적으로 기억하기 쉬운 단어로 시작해볼 수 있다. 이때 일반적인 알파벳을 나열하는 것보단 특정 문자를 숫자로 바꾸면 유용하다. 예를 들어 알파벳 O는 대신 숫자 0으로, 알파벳 I는 숫자 1로, 알파벳 A는 숫자 4로, 알파벳 E는 숫자 3으로 쓰는 것이다. 알파벳 a나 o가 들어가는 부분에 특수문자 @를 쓰는 방법도 있다. 

이런 원칙을 기준으로 원래 쓰려던 비밀번호가 bigbrowndog라면 b1gbr0wnd@g로 바꿔서 복잡하게 만들 수 있다. 강력한 암호이면서 기억하기 쉬운 형태가 되는 셈이다. b1gbr0wnd@g에서 가장 첫 단어를 대문자로 변경해서 B1gbr0wnd@g로 한다면 더 보안성이 높은 암호가 완성된다. 

암호 길이가 짧을수록 해킹은 더 쉬워진다. 따라서 길게 하는게 더 안전하다. 자신의 이름의 이니셜이나 회사명, 가족 이름은 일정한 패턴을 가지므로 최대한 피하자. 다시 강조하지만, 무작위 형태의 비밀번호가 훨씬 더 안전하다. 닉네임, 애칭, 브랜드 이름, 별표 기호도 사용자 정보를 기반으로 만들어지므로 웬만하면 사용하지 말자. 물론 인간의 뇌는 무작위 정보를 기억하기 힘들어한다. 무엇인가 오래 기억하려면 특정 패턴이나 연관성이 있하기에, 사용자는 자꾸 비밀번호에 패턴을 부여하고 싶을 것이다. 다행히도 우리가 가진 한계를 극복하며 편리함까지 더해주는 툴이 있다. 비밀번호 생성기와 관리 프로그램이다. 
 

7. 비밀번호 생성기 이용하기

길고 강력한 비밀번호를 찾는 가장 빠른 방법은 비밀번호 생성기를 사용하는 것이다. 비밀번호 생성기는 알아서 대소문자, 숫자, 특수 기호를 적절히 조합해서 무작위 암호를 자동으로 생성한다. 이런 비밀번호 생성기는 대부분 무료이고, 이용 방법도 간단한다. 비트워든(Bitwarden)이라는 비밀번호 관리 앱으로 생성한 비밀번호는 다음과 같다. 
 

8. 비밀번호 관리 프로그램 사용하기

점점 더 복잡해지는 암호를 간편하게 관리하려면 암호 관리 프로그램을 따로 이용해보자. 해당 프로그램으로 모든 계정 정보를 하나로 모을 수 있으면서, 각 계정의 암호를 자동으로 생성하고 앱 또는 웹사이트 로그인할 때 자동으로 불러올 수 있다. 대표적으로 대쉬레인(Dashlane)과 원패스트워드(1Password)같은 프로그램이 있다. 

비밀번호 관리 프로그램을 이용한다면 사용자는 궁극적으로 관리 프로그램을 열 때 쓰는 비밀번호 하나만 기억하면 된다. 그 외 모든 아이디와 비밀번호는 관리 프로그램에서 알아서 관리한다. 물론 웹 브라우저 자체에서도 아이디와 비밀번호 또는 휴대전화 번호를 저장해서 로그인 과정에서 불러올 수 있다. 비밀번호 관리자 프로그램도 비슷한 역할을 하지만 호환되는 플랫폼이 더 많다는 점에서 유용하다. 
editor@itworld.co.kr