“비밀번호 돌려막기 이제 그만”... 서비스별 고유 암호 필수
3x3 암호표·문장형 비번 등 ‘기억하기 쉬운’ 보안 팁
[보안뉴스 조재호 기자] 새해 목표로 다이어트나 금연을 꼽는 사람이 많다. 두 가지 모두 단순 결심을 넘어 체계적인 관리와 노력이 필요하다. 보안도 비슷하다. 연이은 보안 사고로 ‘역대급’이란 수식어가 붙었던 지난해와 달리 2026년 보안은 달라져야 한다. 이에 <보안뉴스>는 개개인의 디지털 건강을 위한 ‘개인정보 다이어트’를 제안한다.
[출처: gettyimagesbank]
개인정보 다이어트란 다양한 웹·모바일 서비스를 활용하면서 남겨진 기록과 계정 정보를 관리하자는 의미다. 평소 이용하는 서비스의 관리부터 이벤트 참여 등을 이유로 가입 후 방치된 개인정보까지. 미리 정리하면 유출 사고로 인한 2차 피해를 예방할 수 있다.
GS리테일부터 티빙, G마켓까지... 단순하지만, 치명적인 ‘크리덴셜 스터핑’
개인정보 유출의 2차 피해로 대표적인 사이버 위협 유형으로는 ‘크리덴셜 스터핑(Credential Stuffing)’이 있다. 방치된 내 인증 정보(크리덴셜)를 무작위로 대입하는 공격이다. 따라서 보안이 취약한 소규모 서비스 하나만 뚫려도, 동일한 ID와 비밀번호를 사용하는 서비스까지 연쇄적으로 침해당할 수 있다.
실제로 최근 발생한 일련의 보안 사고들은 이러한 위험성을 여실히 보여줬다. GS리테일의 GS페이 도용 사건이나 OTT 플랫폼인 티빙의 계정 도용 의심 사례가 대표적이다. 해당 기업들은 서버가 직접 해킹된 것이 아니라, 외부에서 유출된 개인정보를 악용한 ‘비정상적인 로그인 시도’가 원인이었다.
지난 연말 G마켓 무단 결제 사고도 SK텔레콤이나 KT, 쿠팡 등 대규모 개인정보 유출 사고의 연장선에서 벌어진 2차 피해라는 이야기도 나온다. 연이은 보안 사고와 더불어 대다수 이용자가 비밀번호를 비롯해 계정 정보를 동일하게 설정하는 경우가 많기 때문이다.
대소문자와 특수기호, 2자리 이상 복잡한 비밀번호 쉽게 쓰는 법은?
크리덴셜 스터핑은 개인이 쉽게 기억할 수 있게 통일한 계정과 비밀번호를 설정한 습관을 노린 공격이다. 이 때문에 대부분의 서비스는 특정 기간마다 비밀번호 변경을 권하고, 서비스마다 다르게 사용하는 것을 권장한다. 하지만 사용자 관점에서 복잡하고 긴 비밀번호를 여럿 사용하긴 힘들다. 오히려 기억하기 쉬운 비밀번호를 생성해 보안에 악영향을 주기도 한다. 대표적으로 군이나 관공서에서 접할 수 있는 ┖1q2w3e4r!!┖ 같은 비밀번호가 있다.
복잡한 비밀번호를 만들더라도 기준을 잡고 만들면 활용성을 높일 수 있다. 대표적인 원칙으로는 △12자 이상 △패턴 및 개인정보 배제 △서비스마다 다른 비밀번호 운영 등이 있다.
비밀번호의 길이가 길수록 경우의 수도 늘어나고 변화를 주기 쉽다. 가능하면 12자 이상을 권한다. 이름이나 생년월일 같은 추측이 가능한 개인정보는 최대한 배제하는 것이 좋다. 복잡한 특수기호를 넣는 것보다 특정 단어를 조합하는 것이 유리하다. 특정 단어와 서비스명 혹은 이니셜을 활용하는 방법도 있다. 예를 들어 네이버 계정의 비밀번호에 nav나 네이버 혹은 spdlqj 같은 문자열을 추가해 서비스마다 차이를 줄 수 있다.
▲3X3 암호표 예시 [출처: 보안뉴스]
나만의 암호표를 만드는 것도 하나의 방법이 될 수 있다. 3x3판에 9개의 단어를 넣고 한 줄씩 사용한다면 16개의 새로운 암호를 만들 수 있고, 2칸씩 일부만 활용하면 가짓수는 더 늘어난다. ‘한강-coffee_6energy@!’처럼 단어를 조합하고, 공백 대신 하이픈(-)이나 언더바(_)로 구분하고 숫자를 추가하는 방식이 대표적이다.
복잡한 보안 기술 NO, 누구나 따라 하는 ‘개인정보 다이어트’ 실천
지난해 대형 보안 사고로 인해 기존 계정·비밀번호 조합이 사실상 무력화됐다는 가정이 과하지 않은 상황이다. 나보다 나를 더 잘 이해한 인공지능(AI) 피싱과 스미싱 같은 범죄 우려도 커졌다. 이에 대한 긴급 조치로 비밀번호 변경을 시작으로 내 정보가 담긴 서비스의 수를 줄이는 것도 하나의 대비책이 될 수 있다.
<보안뉴스>는 비밀번호 변경을 시작으로 가입한 서비스 조회 방법과 웹·모바일 비밀번호 관리자 기능 등 복잡하고 어려운 보안 기술이 아닌 누구나 따라 할 수 있는 ‘개인정보 다이어트’ 실천 가이드를 소개할 예정이다.
[조재호 기자(sw@boannews.com)]
3x3 암호표·문장형 비번 등 ‘기억하기 쉬운’ 보안 팁
[보안뉴스 조재호 기자] 새해 목표로 다이어트나 금연을 꼽는 사람이 많다. 두 가지 모두 단순 결심을 넘어 체계적인 관리와 노력이 필요하다. 보안도 비슷하다. 연이은 보안 사고로 ‘역대급’이란 수식어가 붙었던 지난해와 달리 2026년 보안은 달라져야 한다. 이에 <보안뉴스>는 개개인의 디지털 건강을 위한 ‘개인정보 다이어트’를 제안한다.
[출처: gettyimagesbank]
개인정보 다이어트란 다양한 웹·모바일 서비스를 활용하면서 남겨진 기록과 계정 정보를 관리하자는 의미다. 평소 이용하는 서비스의 관리부터 이벤트 참여 등을 이유로 가입 후 방치된 개인정보까지. 미리 정리하면 유출 사고로 인한 2차 피해를 예방할 수 있다.
GS리테일부터 티빙, G마켓까지... 단순하지만, 치명적인 ‘크리덴셜 스터핑’
개인정보 유출의 2차 피해로 대표적인 사이버 위협 유형으로는 ‘크리덴셜 스터핑(Credential Stuffing)’이 있다. 방치된 내 인증 정보(크리덴셜)를 무작위로 대입하는 공격이다. 따라서 보안이 취약한 소규모 서비스 하나만 뚫려도, 동일한 ID와 비밀번호를 사용하는 서비스까지 연쇄적으로 침해당할 수 있다.
실제로 최근 발생한 일련의 보안 사고들은 이러한 위험성을 여실히 보여줬다. GS리테일의 GS페이 도용 사건이나 OTT 플랫폼인 티빙의 계정 도용 의심 사례가 대표적이다. 해당 기업들은 서버가 직접 해킹된 것이 아니라, 외부에서 유출된 개인정보를 악용한 ‘비정상적인 로그인 시도’가 원인이었다.
지난 연말 G마켓 무단 결제 사고도 SK텔레콤이나 KT, 쿠팡 등 대규모 개인정보 유출 사고의 연장선에서 벌어진 2차 피해라는 이야기도 나온다. 연이은 보안 사고와 더불어 대다수 이용자가 비밀번호를 비롯해 계정 정보를 동일하게 설정하는 경우가 많기 때문이다.
대소문자와 특수기호, 2자리 이상 복잡한 비밀번호 쉽게 쓰는 법은?
크리덴셜 스터핑은 개인이 쉽게 기억할 수 있게 통일한 계정과 비밀번호를 설정한 습관을 노린 공격이다. 이 때문에 대부분의 서비스는 특정 기간마다 비밀번호 변경을 권하고, 서비스마다 다르게 사용하는 것을 권장한다. 하지만 사용자 관점에서 복잡하고 긴 비밀번호를 여럿 사용하긴 힘들다. 오히려 기억하기 쉬운 비밀번호를 생성해 보안에 악영향을 주기도 한다. 대표적으로 군이나 관공서에서 접할 수 있는 ┖1q2w3e4r!!┖ 같은 비밀번호가 있다.
복잡한 비밀번호를 만들더라도 기준을 잡고 만들면 활용성을 높일 수 있다. 대표적인 원칙으로는 △12자 이상 △패턴 및 개인정보 배제 △서비스마다 다른 비밀번호 운영 등이 있다.
비밀번호의 길이가 길수록 경우의 수도 늘어나고 변화를 주기 쉽다. 가능하면 12자 이상을 권한다. 이름이나 생년월일 같은 추측이 가능한 개인정보는 최대한 배제하는 것이 좋다. 복잡한 특수기호를 넣는 것보다 특정 단어를 조합하는 것이 유리하다. 특정 단어와 서비스명 혹은 이니셜을 활용하는 방법도 있다. 예를 들어 네이버 계정의 비밀번호에 nav나 네이버 혹은 spdlqj 같은 문자열을 추가해 서비스마다 차이를 줄 수 있다.
▲3X3 암호표 예시 [출처: 보안뉴스]
나만의 암호표를 만드는 것도 하나의 방법이 될 수 있다. 3x3판에 9개의 단어를 넣고 한 줄씩 사용한다면 16개의 새로운 암호를 만들 수 있고, 2칸씩 일부만 활용하면 가짓수는 더 늘어난다. ‘한강-coffee_6energy@!’처럼 단어를 조합하고, 공백 대신 하이픈(-)이나 언더바(_)로 구분하고 숫자를 추가하는 방식이 대표적이다.
복잡한 보안 기술 NO, 누구나 따라 하는 ‘개인정보 다이어트’ 실천
지난해 대형 보안 사고로 인해 기존 계정·비밀번호 조합이 사실상 무력화됐다는 가정이 과하지 않은 상황이다. 나보다 나를 더 잘 이해한 인공지능(AI) 피싱과 스미싱 같은 범죄 우려도 커졌다. 이에 대한 긴급 조치로 비밀번호 변경을 시작으로 내 정보가 담긴 서비스의 수를 줄이는 것도 하나의 대비책이 될 수 있다.
<보안뉴스>는 비밀번호 변경을 시작으로 가입한 서비스 조회 방법과 웹·모바일 비밀번호 관리자 기능 등 복잡하고 어려운 보안 기술이 아닌 누구나 따라 할 수 있는 ‘개인정보 다이어트’ 실천 가이드를 소개할 예정이다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg){kind=spacer}
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
