안전한 비밀번호 만들기 — 2026년 기준 길이, 엔트로피, 그리고 정말 중요한 한 가지
강한 비밀번호의 정의는 지난 10년간 크게 바뀌었습니다. 대문자·숫자·특수문자를 끼워 넣는 옛날 규칙은 잊으세요 — 지금 중요한 건 길이, 진정한 무작위성, 그리고 사이트 간 비밀번호 재사용 금지입니다. 이 가이드는 그 이유와, 비밀번호 생성기를 어떻게 활용해야 자기 발에 걸려 넘어지지 않는지 정리합니다.
수십 년 동안 표준 규칙은 같았습니다 — '8자 이상, 대소문자, 숫자, 특수문자 1개씩'. 그 결과 사람들은 'Password1!' 같은 걸 골랐고, 공격자도 그 패턴을 학습했죠. 미국 표준 기관 NIST는 2017년과 2024년에 가이드를 개정해 보안 연구자들이 오랫동안 주장하던 사실을 인정했습니다 — 옛날 규칙은 비밀번호를 사람에게 더 어렵게 만들었을 뿐 공격자에게는 거의 더 어렵게 만들지 못했습니다.
현재의 합의는 단순합니다. 길이가 문자 다양성보다 중요하다. 무작위성이 영리함보다 중요하다. 비밀번호 매니저가 기억력보다 낫다. 그리고 모든 규칙 위에 있는 단 하나의 원칙 — 사이트마다 다른 비밀번호를 써라. 그걸 가능하게 해주는 게 무작위 문자열을 만드는 생성기입니다.
필요한 용어 다섯 가지
- 엔트로피(Entropy)
- 비밀번호의 무작위성을 비트 단위로 측정한 값. 1비트 늘어날 때마다 공격자의 평균 시도 횟수가 두 배가 됩니다. 60비트면 적당, 80비트면 강함, 100비트 이상이면 거의 모든 위협 모델에 충분.
- 무차별 대입 공격(Brute Force)
- 가능한 모든 조합을 차례로 시도하는 공격. 현대 GPU는 빠른 해시에 대해 초당 수십억 번 시도가 가능해서, 짧은 비밀번호는 몇 초 만에 뚫립니다.
- 사전 공격(Dictionary Attack)
- 단어 목록을 사용한 공격. 진짜 단어 + 숫자 몇 개 조합은 길이에 상관없이 거의 다 뚫립니다.
- 크리덴셜 스터핑(Credential Stuffing)
- 한 사이트에서 유출된 비밀번호를 다른 사이트에 똑같이 시도하는 공격. 비밀번호 재사용이 가장 위험한 습관인 이유.
- 해싱(Hashing)
- 사이트가 비밀번호를 저장하는 방식. 좋은 사이트는 bcrypt·scrypt·Argon2 같은 느린 해시를 쓰고, 나쁜 사이트는 MD5를 써서 DB 유출 시 몇 밀리초 만에 비밀번호가 복구됩니다.
비밀번호 길이별 무차별 대입 시간
초당 100억 번 시도(현대 GPU 수준)를 가정한 최악의 경우입니다. 실제 사이트의 해시는 보통 더 느려서 시간이 더 걸립니다.
| 길이 | 소문자만 | 대소문자 + 숫자 + 특수문자 |
|---|---|---|
| 8자 | 1초 미만 | 약 1시간 |
| 10자 | 약 6시간 | 약 30년 |
| 12자 | 약 600년 | 약 3백만 년 |
| 14자 | 약 43만 년 | 사실상 불가능 |
| 16자 | 사실상 불가능 | 사실상 불가능 |
길이 vs 문자 다양성
둘 다 엔트로피에 영향을 주지만, 길이의 효과가 훨씬 큽니다. 한 글자 늘어나면 검색 공간이 곱해지지만, 문자 종류 늘어나는 건 한 자리수만 넓힐 뿐이거든요. 무작위 소문자 8자에서 12자로 늘리면 엔트로피가 약 19비트 증가(약 50만 배). 같은 8자에서 대소문자로 확장하면 8비트 증가(256배)에 그칩니다.
그래서 현대 표준은 '특수문자 잔뜩 든 짧은 비번'보다 '긴 무작위 비번'을 선호합니다. 16자 무작위 소문자가 10자 대소문자+특수문자보다 더 강하고, 모바일 키보드에서 입력하기도 쉽습니다.
패스프레이즈 — 잊지 말 만큼 쉬우면서 충분히 강한 대안
패스프레이즈는 큰 사전에서 무작위로 뽑은 4~7개 단어를 공백이나 하이픈으로 잇는 방식입니다. 외우기 쉽고, 거의 모든 위협 모델에 충분합니다:
- •EFF 표준 7,776단어 목록에서 무작위 4단어 → 약 52비트. 일반 계정에 충분.
- •6단어 → 약 77비트. 이메일·뱅킹·비밀번호 매니저 마스터 비번에 권장.
- •7단어 → 약 90비트. 사실상 뚫리지 않음.
- •단어는 반드시 진짜 무작위(주사위·생성기)로 골라야 합니다. '내가 좋아하는 시에서 뽑은 단어'는 사전 공격에 취약합니다.
비밀번호 생성기를 실용적으로 활용하는 법
- 1
먼저 비밀번호 매니저를 정하세요
1Password, Bitwarden, KeePass, 애플 iCloud 키체인 모두 좋습니다. 매니저가 있어야 16자 무작위 비번이 실용적이 됩니다 — 입력은 자동완성에 맡기는 거니까요.
- 2
매니저 마스터 비번은 패스프레이즈로
6~7단어 패스프레이즈 사용. 외울 비번은 이거 하나뿐. 종이에 적어두고 익숙해질 때까지 안전한 곳에 보관하세요.
- 3
다른 사이트는 모두 무작위 16자 이상
대소문자·숫자·특수문자 포함. 매니저에 저장하면 외울 필요 없습니다.
- 4
가능하면 2단계 인증(2FA)을 켜세요
비번이 유출돼도 2차 인증이 막아줍니다. 앱 기반(Authy, Google Authenticator)이나 하드웨어 키(YubiKey)가 SMS보다 훨씬 안전합니다.
- 5
재사용·유출된 비번부터 우선 교체
haveibeenpwned.com에서 본인 이메일을 검색해 유출 이력을 확인하세요. 유출된 적이 있는 비번은 즉시 바꿔야 합니다.
자주 묻는 질문
여기서 만든 비밀번호가 서버로 전송되나요?
전송되지 않습니다. EllyTools 생성기는 브라우저의 cryptographically secure crypto.getRandomValues API로 모든 작업을 로컬 처리합니다. 비밀번호는 사용자 기기를 떠나지 않습니다.
얼마나 자주 비밀번호를 바꿔야 하나요?
현대 표준(NIST 포함)은 '유출 의심이 있을 때만' 바꾸라고 권장합니다. 정기적인 강제 변경은 사용자가 비번을 점점 더 약하게 만들 뿐 보안에 도움이 안 됩니다.
비밀번호 매니저가 단일 실패 지점 아닌가요?
맞습니다. 그게 핵심입니다 — 한 개의 매우 강한 잘 보호된 금고가, 머리와 브라우저에 흩어져 있는 수십 개의 약한 재사용 비번보다 훨씬 안전합니다. 매니저 마스터 비번과 복구 키는 적절히 보관해야 합니다.
사이트가 12자 또는 특수문자를 막는 경우엔?
보안 수준이 낮은 사이트라는 신호입니다. 허용 범위 안에서 최대 길이로 만들고, 그 계정이 더 위험에 노출되어 있다는 점만 인식해두세요.
지문/Face ID가 비밀번호보다 나은가요?
편의성은 좋지만 보통 저장된 비번을 잠금 해제하는 도구일 뿐, 비번을 대체하지는 않습니다. 비번은 여전히 강해야 합니다. 둘을 함께 쓰세요 — 강한 비번 + 편리한 생체인증.