해커들의 100억개 비번 사전, AI 기반 공격 시대… 문장형 비밀번호로의 전환이 왜 필요한가

문장형 비밀번호 필요성 급증

최근 3370만 건의 개인정보가 유출된 쿠팡 사태와 함께 해커들의 공격 방식이 과거와 비교할 수 없을 만큼 고도화되면서 비밀번호 보안의 중요성이 다시 조명되고 있다. 쿠팡은 “유출된 정보는 민감하지 않아 2차 피해는 없다”고 밝혔지만, 보안 전문가들은 **“민감하지 않은 정보라도 조합되면 심각한 피해로 이어질 수 있다”**고 경고한다.

해커들은 조각난 개인정보를 AI로 조합해 피해자의 행동 패턴을 예측하거나 계정을 탈취하는 데 사용할 수 있다. 최근 대기업 회장, 유명 연예인 등을 노린 공격도 여러 기관에서 탈취된 정보를 조합해 알뜰폰을 개통하고 자금을 빼돌리는 방식으로 이루어졌다. 이는 단순한 이메일 주소·주소록 정보 유출조차 무시할 수 없는 시대가 되었음을 보여준다.

1️⃣ 해커들의 비밀번호 ‘딕셔너리’는 이미 100억개

안랩 박태환 시큐리티본부장은 “해커들이 보유한 비밀번호 조합 사전은 이미 100억 개 이상”이라며 “사용자들이 여러 사이트에 같은 비밀번호를 쓰는 관행은 공격자 입장에서 가장 쉬운 먹잇감”이라고 밝혔다.

이 ‘딕셔너리’는 단순한 숫자 조합이 아니라 실제 유출된 비밀번호, 패턴, 자주 사용되는 문자열, 심지어 AI가 예측한 조합까지 포함된다.

이런 이유로 최근 공격의 핵심은 크리덴셜 스터핑(Credential Stuffing, 도용 계정 대입 공격)이다. 유출된 아이디·비밀번호를 자동화된 스크립트로 수십만 번 대입해 성공하는 계정을 찾아내는 방식이다. AI가 결합되면서 속도는 더 빨라지고 탐지도 점점 어려워지고 있다.

2️⃣ “기억 쉽고 길게” — 문장형 비밀번호가 정답

전문가들은 기존의 숫자·문자 조합 방식에서 벗어나 “기억하기 쉽지만 길고 예측하기 어려운 문장형 비밀번호”로 전환해야 한다고 조언한다.

예시:

• 좋아하는 노랫말 한 줄을 영어 자판 배열로 입력
• 짧은 글귀 뒤에 개인만 아는 숫자 조합 추가
• 문장 일부를 특수문자로 치환해 길이 확장

이러한 방식은 해외 해커들이 한국어 기반의 문장을 예측하기 어렵기 때문에 공격 난도가 대폭 상승한다.

또한 플랫폼별로 앞부분에 카테고리 기호를 붙여 비밀번호를 관리하는 방법도 추천된다. 예: 쇼핑몰 계정은 2@, 게임 계정은 3# 등 규칙 기반으로 분류하면 여러 비밀번호도 쉽게 기억할 수 있다.

3️⃣ 단순 정보 유출도 2차 피해로 이어지는 이유

많은 이용자는 “주소록이나 이름 정도는 큰 문제 아니다”라고 생각한다. 하지만 실제로는 주소·전화번호·이메일·주문 정보 등 단편적인 정보가 하나씩 조합되면 **정교한 사회공학 공격(Social Engineering)**에 활용될 수 있다.

예컨대 사용자의 최근 주문 내역을 활용한 피싱 문자, 공동현관 비밀번호를 빌미로 한 사칭 전화 등 공격 기법은 과거보다 훨씬 현실적이고 정교해지고 있다.

4️⃣ 이용자가 반드시 지켜야 할 기본 보안 수칙

• 서로 다른 사이트에 같은 비밀번호 사용 금지
• 최소 12자 이상 문장형 비밀번호 사용
• 정기적인 비밀번호 변경 및 2단계 인증(2FA) 활성화
• 유출 알림 서비스 활용(예: Have I Been Pwned 등)
• 의심스러운 로그인 기록 및 알림 즉시 확인

전문가들은 “기업의 보안 책임도 크지만, 최종 피해를 막는 가장 빠른 방법은 이용자의 보안 습관 변화”라고 강조한다. 지금 같은 대규모 유출 시대에는 **개인의 보안 수준이 곧 스스로의 안전을 결정하는 요소**가 되고 있다.