비밀번호 보안 실천 가이드: 계정을 안전하게 지키는 10가지 방법

비밀번호 보안 실천 가이드: 계정을 안전하게 지키는 10가지 방법

매년 수십억 건의 계정 정보가 유출되고 있습니다. 2024년에만 주요 서비스에서 대규모 데이터 유출 사고가 여러 차례 발생했으며, 유출된 비밀번호는 다크웹에서 거래되어 추가 공격에 활용됩니다. 이 글에서는 비밀번호 보안을 강화하고 계정을 안전하게 지키기 위한 10가지 실천 방법을 소개합니다.

1. 모든 계정에 고유한 비밀번호 사용하기

가장 중요한 원칙입니다. 하나의 비밀번호를 여러 서비스에 재사용하면, 한 곳에서 유출될 때 모든 계정이 위험해집니다. 공격자들은 유출된 자격 증명을 다른 사이트에 자동으로 시도하는 “자격 증명 채움(Credential Stuffing)” 공격을 일상적으로 수행합니다.

2. 비밀번호 관리자(Password Manager) 사용하기

수십 개의 고유한 비밀번호를 기억하는 것은 불가능합니다. 비밀번호 관리자를 사용하면 하나의 마스터 비밀번호만 기억하고, 나머지는 모두 안전하게 저장할 수 있습니다.

추천 비밀번호 관리자:

• Bitwarden — 오픈소스, 무료 플랜 제공
• 1Password — 가족/팀 공유 기능 우수
• Apple 키체인 — Apple 기기 사용자에게 편리

3. 2단계 인증(2FA) 반드시 활성화하기

비밀번호가 유출되어도 2단계 인증이 활성화되어 있으면 계정을 보호할 수 있습니다.

인증 방법별 보안 수준:

가능하면 SMS 대신 인증 앱이나 하드웨어 키를 사용하세요.

4. 비밀번호 유출 여부 정기적으로 확인하기

Have I Been Pwned에서 자신의 이메일 주소를 입력하면 과거 데이터 유출 사고에 포함되었는지 확인할 수 있습니다. 유출이 확인되면 해당 서비스와 같은 비밀번호를 사용한 모든 곳의 비밀번호를 즉시 변경하세요.

5. 피싱 공격 구별하기

정교한 피싱 이메일은 실제 서비스의 알림과 거의 구분이 불가능합니다. 다음 원칙을 지키세요:

• 이메일 링크를 클릭하지 말고, 직접 서비스 URL을 입력하세요
• URL의 도메인을 꼼꼼히 확인하세요 (예: goog1e.com vs google.com)
• 긴급함을 강조하는 메시지는 의심하세요
• 비밀번호를 이메일로 요청하는 서비스는 없습니다

6. 공용 Wi-Fi에서 로그인 주의하기

카페, 공항 등 공용 Wi-Fi에서는 트래픽이 감청될 수 있습니다.

• HTTPS가 아닌 사이트에서 절대 로그인하지 마세요
• 가능하면 VPN을 사용하세요
• 중요한 금융 서비스는 공용 Wi-Fi에서 접속하지 마세요

7. 보안 질문에 진짜 답변을 사용하지 않기

“어머니의 처녀 이름”, “첫 번째 반려동물 이름” 같은 보안 질문의 답은 소셜 미디어에서 쉽게 찾을 수 있습니다. 보안 질문에는 랜덤한 답변을 사용하고, 비밀번호 관리자에 저장하세요.

8. 비밀번호를 정기적으로 변경하지 않아도 됩니다

과거에는 90일마다 비밀번호를 변경하라고 권장했지만, NIST(미국 국립표준기술원)는 더 이상 정기 변경을 권장하지 않습니다. 정기 변경은 오히려 약한 비밀번호 사용을 유도합니다. 유출이 의심될 때만 변경하세요.

9. 브라우저에 비밀번호 저장 시 주의사항

최신 브라우저의 비밀번호 저장 기능은 충분히 안전하지만, 다음 사항을 확인하세요:

• 기기 잠금(PIN, 생체 인증)이 설정되어 있는지 확인
• 공용 기기에서는 절대 비밀번호를 저장하지 마세요
• 브라우저 동기화 시 동기화 계정의 보안도 확인하세요

10. 랜덤 비밀번호 생성기 활용하기

사람이 만든 비밀번호는 아무리 노력해도 패턴이 생깁니다. 암호학적으로 안전한 난수를 사용하는 비밀번호 생성기를 활용하세요. utilo.kr의 비밀번호 생성기는 브라우저에서 crypto.getRandomValues()를 사용하여 서버로 데이터를 전송하지 않고 안전하게 비밀번호를 생성합니다.

마무리

비밀번호 보안은 한 번 설정하고 끝나는 것이 아니라, 지속적인 관심이 필요합니다. 비밀번호 관리자를 도입하고, 2단계 인증을 활성화하고, 유출 여부를 정기적으로 확인하는 것만으로도 대부분의 공격을 막을 수 있습니다.