10 년 전과 2025 년, 왜 비밀번호 보안은 여전히 취약한가?

여러분들이 매일 로그인하는 온라인 서비스들의 보안 수준, 혹시 아직도 10 년 전과 별 차이가 없는건가요? 테크래더의 최신 보도 자료에 따르면, 2015 년과 2025 년의 비밀번호 트렌드를 비교한 연구가 공개되었습니다. 사이버 보안 연구원 제리미아 포울러 (Jeremiah Fowler) 가 분석한 결과는 다소 충격적입니다. 보안 기술이 발전했고 다양한 보호 도구들이 생겼음에도 불구하고, 일반인의 비밀번호 사용 습관은 여전히 과거와 크게 달라지지 않은 상태입니다. 특히 중요한 점은 2025 년에도 여전히 많은 사용자가 강력한 비밀번호 대신 기억하기 쉬운 패턴을 사용하고 있다는 사실이지요.

분석 결과, 10 년 간 15% 만 ‘진짜로 복잡한 비밀번호’로 분류되었습니다. 이는 최소 12 자로 구성된 대소문자와 숫자, 기호의 조합이며 특정 규칙이나 구조가 없는 비밀번호를 의미합니다. 그런데 반대되는 85% 는 예측 가능하거나 쉬운 비밀번호들입니다. 예를 들어 ‘나이의 나이’, ‘좋아하는 팀명 + 숫자’ 같은 문학적 구조나 키보드 패턴 (qwerty 등) 을 따릅니다. 문제는 이러한 패턴은 해커들이 수동으로 비밀번호를 무차별적으로 맞추는 공격에 매우 취약하다는 점입니다. 무조건 복잡한 규칙을 따르더라도, 패턴이 반복되면 해킹은 시간 문제가 아닙니다.

하지만 희망적으로 보이는 변화도 존재합니다. 2015 년 이후 키보드 패턴이나 공간적 패턴 (예: 물방울, 사다리 패턴) 이 포함된 비밀번호가 15~20% 감소했습니다. ‘admin’, ‘password’ 같은 일반 명사 사용률도 하락했습니다. 대신 비밀번호 생성 도구를 사용한 비밀번호가 10~12% 증가하며 그나마 개선되고 있다는 증거입니다. 그러나 문제는 인간의 기억력에 있습니다. 평균인이 가진 비밀번호 수는 평균 168 개로 추정됩니다. 이렇게 많은 계정에 대해 각각 강력한 비밀번호를 기억하려는 노력은 인간에게 불가능한 짐입니다.

그래서 많은 사람들이 계정을 보호하기 위해 비밀번호를 재사용합니다. 하지만 이는 치명적인 위험을 안겨줍니다. 하나의 계정이 유출되면, 그 비밀번호로 접속할 수 있는 다른 모든 계정이 위험해집니다. 이를 ‘패스워드 캐스케이드’ 혹은 연쇄 위험이라고 합니다. 범죄자들은 AI 와 머신러닝을 이용해 유출된 데이터베이스를 분석하여 새로운 비밀번호를 예측하는 능력을 키우고 있습니다. 따라서 단순한 복잡성 규칙만으로는 안전할 수 없으며, 반드시 재사용을 없애야 합니다. 강제된 복잡성 규칙조차 재사용된 비밀번호나 데이터 유출, 멀웨어 공격에는 해결책이 되지 못합니다.

결론적으로 가장 확실한 보안 방법은 강력한 비밀번호 관리 도구를 사용하는 것입니다. 현재 수많은 비밀번호 관리자 서비스가 있으며, 유료 버전도 있지만 무료로 제공하는 서비스들도 있습니다. 인증자 앱 (Authenticator App) 과 같이 2 단계 인증을 병행하면 더 안전합니다. 전문가들은 NordPass, RoboForm, Keeper 등을 추천하며, 각자의 예산과 사용 환경에 맞는 도구를 선택하라고 조언합니다. 오늘부터라도 비밀번호 관리 습관을 다시 점검해보고, 당신의 온라인 지갑을 보호하는 데 있어 AI 를 활용하고 있다는 점을 기억해야 합니다. 더 이상 편의를 선택하여 보안 노출을 감수하지 마세요. 우리는 더 많은 인증 정보를 보호해야 하는 시점에 서 있습니다.

이 글은 Latest from TechRadar의 기사를 바탕으로 작성되었습니다.