회원가입할 때마다 마주치는 그 안내문, "비밀번호는 영문 대소문자, 숫자, 특수문자를 포함한 8자 이상" 말이에요. 저도 이거 때문에 매번 한숨 쉬는 사람 중 하나거든요. 그런데 솔직히 말하면, 저는 이 규칙이 보안에 정말 도움이 되는지 늘 의심해 왔어요.
Password1! 같은 비밀번호를 만들어 놓고 안전하다고 믿는 사람이 너무 많거든요. 최근 미국 NIST(국립표준기술연구소)에서도 이 규칙에 대한 입장을 바꿨다고 해서, 두 접근법을 한번 제대로 비교해 보고 싶었습니다.
특수문자 포함 규칙은 어떻게 시작됐을까
이 규칙의 출발점은 2003년 NIST가 발표한 비밀번호 가이드라인이에요. 당시 작성자였던 빌 버(Bill Burr)는 "대문자, 소문자, 숫자, 특수문자를 섞고 주기적으로 변경하라"고 권고했죠. 이게 전 세계 기업과 기관에 퍼지면서 우리에게 익숙한 그 규칙이 만들어졌습니다. 그런데 흥미로운 점은, 빌 버 본인이 2017년에 월스트리트저널 인터뷰에서 "그 규칙은 솔직히 잘못된 권고였다"고 인정했다는 거예요. 실제 사용자 행동을 충분히 고려하지 않고 만든 가이드라인이었다는 거죠. 사람들은 결국 Password1!이나 Qwerty123!처럼 예측 가능한 패턴만 만들어 냈거든요.
NIST는 2017년 SP 800-63B 개정판부터 "특수문자 강제 포함" 규칙을 권고 사항에서 제외했고, 최근 SP 800-63B Rev. 4에서는 길이를 더 강조하고 있어요. 복잡성보다 길이가 더 중요하다는 입장이에요.
방식 A: 특수문자 포함 규칙(복잡성 중심)
복잡성 중심 비밀번호
"8자 이상, 영문 대소문자·숫자·특수문자 각 1개 이상 포함"이 대표 공식이에요. 예: P@ssw0rd!, K9j#mZ2!
- 👍 짧아도 이론적인 경우의 수(엔트로피)를 높일 수 있음
- 👍 단순한 사전 단어 공격에는 강함
- 👍 기존 보안 인증 체계와 잘 호환됨
- 👎 사람이 외우기 어려워 결국 메모하거나 재사용함
- 👎 !1처럼 끝에만 붙이는 패턴이 굳어져 예측 가능해짐
- 👎 사이트마다 허용 특수문자가 달라 사용성이 떨어짐
사실 이 방식의 가장 큰 문제는 "사람이 만들면 결국 비슷해진다"는 점이에요. 해커들도 이걸 잘 알아서, 단순 무차별 대입(brute force)이 아니라 규칙 기반 공격으로 접근해요. "단어 + 숫자 + !" 같은 패턴을 우선적으로 시도하는 거죠. 그래서 8자리 복잡한 비밀번호가 생각보다 빨리 뚫리는 일이 흔합니다.
방식 B: 길이 중심 규칙(패스프레이즈)
길이 중심 비밀번호(패스프레이즈)
관련 없는 단어 여러 개를 이어 붙여 긴 문장형 비밀번호를 만드는 방식이에요. 예: orange-piano-river-cloud, 창문여름고래자전거
- 👍 길이가 길어질수록 경우의 수가 기하급수적으로 증가
- 👍 사람이 외우기 쉬워 메모할 필요가 줄어듦
- 👍 같은 패턴 재사용 위험이 낮음
- 👎 모든 사이트가 긴 비밀번호를 허용하지 않음(특히 한국)
- 👎 자주 쓰는 단어 조합은 사전 공격에 약할 수 있음
- 👎 일부 시스템은 공백이나 특수문자를 강제해 패스프레이즈가 어려움
실제로 16자 이상의 패스프레이즈는 현재의 컴퓨팅 능력으로는 무차별 대입이 거의 불가능에 가까워요. 특수문자 없이 영문 소문자로만 구성된 16자도 8자 복잡 비밀번호보다 훨씬 안전하다는 게 보안 전문가들의 일치된 의견입니다. 문자 종류보다 길이가 결정적이라는 거죠.
아무리 길어도 "사랑해요엄마아빠" 같은 일반적인 문구나 노래 가사, 유명한 인용구는 사전 공격 대상이 됩니다. 패스프레이즈를 쓸 때는 반드시 서로 연관성 없는 단어를 무작위로 골라야 해요.
실제 공격 시나리오에서는 어떻게 다를까
결국 중요한 건 "이론상 강도"가 아니라 "실제 공격에 얼마나 견디느냐"예요. 해커들이 주로 사용하는 공격 방식별로 두 방식이 어떻게 반응하는지 정리해 봤어요. 무차별 대입 공격에서는 단순히 경우의 수가 많을수록 유리하기 때문에 길이가 길수록 강해져요. 사전 공격에서는 일반 단어와 흔한 변형(예: a→@)을 다 시도하기 때문에, 짧고 변형이 뻔한 복잡 비밀번호는 의외로 약합니다.
반면 피싱이나 키로깅, 데이터 유출 같은 공격에서는 어떤 비밀번호든 똑같이 무너져요. 이런 공격에는 비밀번호 강도가 아니라 2단계 인증(MFA)이 답이에요.
"비밀번호 복잡성을 높이는 것보다, 사이트마다 다른 비밀번호를 쓰고 2단계 인증을 켜는 것이 훨씬 효과적입니다." 이게 최근 보안 업계의 공통된 결론이에요.
그럼 왜 아직도 특수문자 규칙을 강요할까
이 부분이 진짜 답답한 지점이에요. 보안 전문가들은 이미 입장을 바꿨는데, 현실에서는 여전히 특수문자를 강제하는 사이트가 대부분이거든요. 이유는 크게 세 가지로 보여요.
첫째, 관행과 인증 기준이에요. 많은 정보보호 인증 체크리스트가 여전히 "복잡성 규칙"을 점검 항목으로 두고 있어서, 기업 입장에서는 안 따르기 어려워요. 둘째, 레거시 시스템의 한계예요. 오래된 시스템은 비밀번호 최대 길이가 짧게 제한돼 있어서 길이를 늘릴 수가 없어요. 셋째, 책임 회피 측면도 있어요. 사고가 났을 때 "최소한의 복잡성 규칙은 적용했다"고 말할 수 있어야 하니까요.
개인 사용자 입장에서는 이 규칙을 바꾸기 어렵죠. 그래서 현실적인 타협안이 필요한데, 결국 두 방식을 적절히 섞는 게 가장 합리적이에요.
두 방식 한눈에 비교하기
| 비교 항목 | 특수문자 포함(8자) | 패스프레이즈(16자+) |
|---|---|---|
| 무차별 대입 저항력 | 보통 | 매우 강함 |
| 사전·패턴 공격 저항력 | 약함 | 강함(무작위 단어일 때) |
| 기억 용이성 | 어려움 | 쉬움 |
| 재사용 위험 | 높음 | 낮음 |
| 사이트 호환성 | 매우 좋음 | 제한적 |
| NIST 최신 권고 | 강제하지 않음 | 권장(길이 강조) |
| 피싱·유출 대응 | 효과 없음 | 효과 없음 |
오픈뱅킹 보이스 피싱 수법과 내 계좌 지키는 3가지 필수 설정
오픈뱅킹의 편리함 뒤에 숨은 보이스 피싱 위험! 최신 수법부터 내 계좌를 한 번에 지키는 필수 보안 설정법, 피해 시 대처 요령까지 상세히 가이드해 드립니다.
ru1004.com
보이스피싱 2차 피해 완벽 차단법: 안심차단 서비스와 금융권 공식 지침 총정리
보이스피싱 피해를 인지한 직후 30분은 2차 피해를 막는 골든타임입니다. 금융거래 안심차단 서비스와 개인정보노출자 사고예방시스템을 활용해 추가 피해를 완벽히 차단하는 방법을 안내합니
ru1004.com
결론을 정리하면 이래요. 사이트 규정을 어쩔 수 없이 따라야 한다면, 패스프레이즈에 특수문자와 숫자를 약간 섞어 길이를 16자 이상으로 만드는 방식이 가장 현실적이에요. 예를 들어 orange-piano7-river! 같은 형태죠. 길이도 확보되고 특수문자 규칙도 만족시키니까요. 그리고 이것보다 훨씬 중요한 건, 어떤 비밀번호를 쓰든 비밀번호 관리자(1Password, Bitwarden 등)와 2단계 인증을 함께 쓰는 거예요. 솔직히 비밀번호 복잡성에 신경 쓰는 시간보다 2단계 인증 한 번 켜는 게 보안 효과가 훨씬 큽니다. 특수문자 규칙에 짜증 났던 분들에게, 이 글이 작은 위안이자 실용적인 가이드가 되었으면 좋겠어요.