규제 대상 산업을 위한 비밀번호 모범 사례: 실용적인 보안 가이드

비밀번호 관리의 모범 사례는 짧고 다소 지루해 보이지만 실제로 효과가 있는 몇 가지 사항으로 요약됩니다. 비밀번호 관리 도구를 사용하여 모든 계정에 대해 길고 고유한 비밀번호를 생성하고, 다단계 인증(MFA)을 활성화하며, 어떤 서비스에서도 동일한 비밀번호를 절대 재사용하지 않는 것입니다. 의료, 법률, 금융 분야의 팀에게 있어 가장 큰 위험은 비밀번호가 너무 단순하다는 점이 거의 아닙니다. 오히려 비밀번호가 재사용되거나 도난당한 경우입니다. 오늘날 대부분의 계정 침해 사고는 공격자가 추측한 자격 증명이 아니라 이미 보유하고 있는 자격 증명에서 시작되므로, 진정한 목표는 비밀번호 재사용을 방지하고 두 번째 인증 요소를 추가하는 것입니다.

​

주요 내용

• 비밀번호 관리 도구와 다단계 인증(MFA)을 함께 사용하면 자동화된 계정 탈취 공격의 대부분을 차단할 수 있습니다. 복잡한 문자열을 외우는 것이 아니라, 바로 이러한 조합이야말로 비밀번호 보안의 핵심입니다.
• 비밀번호 재사용이 가장 큰 취약점입니다. 업계 연구 결과에 따르면 대다수의 사람들이 비밀번호를 재사용하는 것으로 지속적으로 나타나고 있으며, 따라서 단 한 번의 정보 유출만으로도 해당 비밀번호를 사용하는 모든 계정에 연쇄적인 피해가 발생할 수 있습니다.
• 취약한 비밀번호는 대개 무작위적이지 않고 예측 가능한 경향이 있습니다. 계절에 따라 바뀌는 단어, 반려동물 이름, 회사 이름 등은 바로 공격자들이 가장 먼저 시도해 보는 것들입니다.
• 위협은 비밀번호를 추측하는 것에서 비밀번호를 탈취하는 것으로 바뀌었기 때문에, 단순한 문자 복잡도보다 고유성과 다단계 인증(MFA)이 더 중요해졌습니다.
• 업무 관련 정보와 개인 정보는 절대로 혼용해서는 안 됩니다. 이 두 가지를 분리해 두면 어느 한쪽이 유출되더라도 피해를 최소화할 수 있습니다.

​

비밀번호 관리의 모범 사례는 무엇인가요?

비밀번호 모범 사례란 계정 인증 정보가 추측, 해킹, 재사용 또는 도난당하는 것을 방지하기 위한 일련의 습관과 관리 방법을 말합니다. 여기에는 비밀번호 생성 방법(길이 및 무작위성), 저장 방법(포스트잇, 스프레드시트, 브라우저 대신 비밀번호 관리자 사용), 보호 방법(다단계 인증), 공유 방법(안전한 경로를 통해서만 공유) 등이 포함됩니다. 표준화 기구들이 제시하는 최신 지침은 복잡한 문자 규칙이나 빈번한 변경을 강요하는 방식에서 벗어나, 길이, 고유성, 그리고 강력한 2단계 인증을 강조하는 방향으로 바뀌었습니다.

​

왜 지금 그 어느 때보다 비밀번호 보안이 중요한가

공격자들의 수법이 바뀌었습니다. 10년 전만 해도 가장 큰 우려는 누군가가 수많은 조합을 시도해 취약한 비밀번호를 무차별 대입 공격으로 해독하는 것이었습니다. 오늘날 더 큰 위협은 인증 정보 도용입니다. 공격자들은 데이터 유출, 피싱, 정보 탈취 악성코드(감염된 기기에서 저장된 비밀번호와 로그인 세션을 은밀하게 수집하는 소프트웨어)를 통해 유효한 비밀번호를 입수한 뒤, 이를 이용해 간단히 로그인합니다. 버라이즌(Verizon)의 ‘데이터 유출 조사 보고서’에 따르면, 도난당한 인증 정보는 공격자들이 초기 침투 경로를 확보하는 가장 흔한 방법 중 하나이며, IBM X-Force는 침입 사례 중 상당수가 익스플로잇을 전혀 사용하지 않고 유효한 도난 인증 정보를 활용한다고 보고했습니다.

​

이 점이 중요한 데에는 한 가지 실질적인 이유가 있습니다. 공격자가 이미 유효한 비밀번호를 구매하거나 훔칠 수 있다면, 그 비밀번호의 강도만으로는 더 이상 사용자를 보호할 수 없습니다. 사용자를 보호하는 것은 비밀번호가 고유하다는 점(따라서 다른 계정을 해제할 수 없음)과, 도난당한 비밀번호와 계정 사이에 두 번째 인증 요소가 존재한다는 점입니다. 민감한 기록을 다루는 규제 대상 팀의 경우, 이러한 변화야말로 아래에 제시된 관행을 도입해야 하는 핵심 근거입니다.

​

어떤 비밀번호가 강력한 비밀번호일까요?

비밀번호의 강도는 길이, 무작위성, 고유성이라는 세 가지 요소에 의해 결정됩니다. 그중에서도 길이가 가장 중요합니다. 미국 국립표준기술연구소(NIST)는 특별 간행물 800-63B-4에서 단일 인증 요소로 사용되는 비밀번호의 경우 최소 15자 이상을 권장하며(최소 64자까지 지원), 사이버보안 및 인프라 보안국(CISA)은 최소 16자를 목표로 할 것을 권장합니다. 무작위성이란 사전이나 개인 정보를 피하는 것을 의미합니다. 고유성이란 계정마다 서로 다른 비밀번호를 사용하는 것을 의미합니다.

​

무작위 문자열 대신 사용할 수 있는 유용한 대안은 패스프레이즈입니다. 이는 서로 관련 없는 4~7개의 단어를 이어 붙인 것으로, 길이가 길고 해독하기 어렵지만 기억하기는 훨씬 쉽습니다. CISA는 서로 관련 없는 몇 개의 단어를 하나의 문장으로 묶은 예시를 제시하고 있습니다.

​

​

실제로는 다음과 같은 차이가 있습니다:

​

​

강력한 비밀번호를 만드는 방법

가장 빠르고 신뢰할 수 있는 방법은 비밀번호 관리 프로그램에 비밀번호를 생성하도록 하는 것입니다. 직접 비밀번호를 만들어야 할 경우(예를 들어, 비밀번호 관리 프로그램을 잠금 해제하는 마스터 비밀번호 등), 다음 단계에 따라 패스프레이즈를 구성하세요:

​

1. 서로 관련이 없는 임의의 단어 4개에서 7개를 골라보세요. 본인, 직장, 또는 날짜와 관련된 단어는 피하세요.
2. 이것들을 하나의 문장으로 합치세요. 공백은 그대로 두거나 제거해도 됩니다.
3. 복잡함보다는 길이를 늘리세요. 긴 문구가 기호로만 이루어진 짧은 문자열보다 낫습니다.
4. 이것이 정확히 한 곳에만 사용되고, 그 외에는 어디에도 사용되지 않도록 하십시오.
5. 절대 일반 텍스트로 저장하지 마십시오. 마스터 비밀번호는 직접 외워두고, 나머지는 관리자에게 맡기십시오.

​

예측 가능한 조합은 아예 사용하지 마십시오. 공격자들은 사전 공격(흔히 쓰이는 단어와 알려진 비밀번호 목록을 이용해 자동으로 추측하는 방식)과 크리덴셜 스터핑(다른 침해 사고에서 유출된 사용자 이름과 비밀번호 조합을 재사용하는 방식)을 시도합니다. ‘123456’, ‘admin’, ‘password’와 같이 자주 유출되는 비밀번호(NordPass 연구에서 정기적으로 확인되는 사례)는 순식간에 뚫리며, 반려동물 이름, 회사명, 계절이나 연도 같은 맥락에 기반한 비밀번호 역시 마찬가지입니다.

​

비밀번호 재사용 중단: 가장 중요한 해결책

습관 하나를 바꿀 거라면, 바로 이 습관을 바꾸세요. 보안 연구에서 인용된 설문조사에 따르면, 대다수의 사람들이 여러 계정에서 동일한 비밀번호를 재사용하는 것으로 나타났습니다(포브스 어드바이저(Forbes Advisor)는 약 78%라는 수치를 보도한 바 있습니다). 또한 스파이클라우드(SpyCloud)의 정보 유출 분석에 따르면, 정보 유출 사고로 노출된 사람들 중 상당수가 이전에 유출된 적이 있는 비밀번호를 재사용한 것으로 밝혀졌습니다. 바로 이러한 재사용이 단 한 번의 정보 유출을 연쇄 반응으로 이어지게 만듭니다. 한 서비스에서 정보가 유출되면 공격자는 사용자의 이메일 계정에 접근할 수 있게 되며, 이 이메일 계정을 통해 다른 모든 계정의 비밀번호를 재설정할 수 있게 되는 것입니다.

​

여기서 두 가지 규칙이 자연스럽게 도출됩니다. 첫째, 예외 없이 서비스마다 고유한 비밀번호를 사용해야 합니다. 둘째, 업무용과 개인용 인증 정보를 철저히 분리해야 합니다. 스트리밍 서비스 비밀번호는 회사 시스템 근처에 있어서는 안 되며, 회사 비밀번호로 개인 계정을 보호해서는 절대 안 됩니다. 이러한 분리를 단순한 예의가 아닌 보안 통제 수단으로 간주하십시오. 이는 피해 범위를 제한하여 한쪽에서 보안 침해가 발생하더라도 다른 쪽으로 파급되지 않도록 하기 위함입니다.

​

비밀번호 관리란 무엇이며, 이를 사용해야 할까요?

비밀번호 관리자는 암호화된 금고 내에서 비밀번호를 생성하고 저장하며 자동으로 입력해 주는 애플리케이션입니다. 사용자는 하나의 강력한 마스터 비밀번호만 기억하면 되며, 관리자가 기억하기 어려운 긴 무작위 비밀번호를 비롯한 나머지 모든 비밀번호를 대신 기억해 줍니다. 또한 취약하거나 중복된 비밀번호를 표시해 주어 사용자가 이를 수정할 수 있도록 도와줍니다. CISA와 대부분의 보안 팀은 비밀번호 관리자를 모든 계정에 대해 강력하고 고유한 비밀번호를 현실적으로 사용할 수 있게 해주는 가장 쉬운 방법으로 간주합니다.

​

대략 두 가지 범주로 나눌 수 있습니다. Personal 관리 도구는 개인 사용자와 소규모 팀을 대상으로 합니다. Enterprise 대개 특권 액세스 관리(PAM, 고가치 관리자 자격 증명을 보호하고 모니터링하는 관행)의 일부로, 중앙 집중식 제어, 액세스 제한, 감사 기능, 그리고 단일 로그인(SSO, 사용자가 한 번만 인증하면 여러 승인된 애플리케이션에 접근할 수 있게 해주는 기능)을 제공합니다. 한 가지 주의할 점은, 중요한 인증 정보를 브라우저의 내장 저장소에 의존하지 말아야 한다는 것입니다. 브라우저에 저장된 비밀번호는 전용 암호화 관리자에 저장된 비밀번호보다 해킹당하거나 도난당한 기기에서 추출되기 쉬울 수 있기 때문입니다.

​

다단계 인증(MFA)을 활성화하세요

다단계 인증(MFA)은 비밀번호 외에도 인증 앱에서 생성된 코드, 하드웨어 키, 생체 인증 등과 같은 두 번째 신원 확인 수단을 요구합니다. 도난당했거나 추측된 비밀번호만으로는 시스템에 접근할 수 없기 때문에, MFA는 자동화된 대량 공격의 대부분을 차단하며, CISA와 마이크로소프트 모두 이를 기본 보안 조치로 권장하고 있습니다.

​

모든 인증 요소가 동등한 것은 아닙니다. 지원되는 경우, 패스키(비밀번호를 완전히 대체하고 단순한 2단계 인증이 아닌 독립적인 로그인 수단으로 기능하는, 기기에 바인딩된 암호화 키)를 포함하여 FIDO2 및 WebAuthn 표준에 기반한 피싱 방지 방식을 우선적으로 사용하십시오. SMS를 통해 전송되는 일회용 코드는 가장 취약한 일반적인 인증 요소입니다. 이는 SIM 스와핑 및 네트워크 수준에서 SMS 메시지를 가로챌 수 있는 SS7 프로토콜 공격에 취약하기 때문이며, NIST와 CISA 모두 더 강력한 대안이 존재할 경우 이를 의존하지 말 것을 권고하고 있습니다.

​

비밀번호를 정기적으로 변경해야 할까요?

아니요, 정해진 일정에 따라 변경하는 것은 아닙니다. 적어도 일반 사용자 계정의 경우 그렇습니다. NIST는 현재 사용자 비밀번호에 대한 의무적인 주기적 변경을 권장하지 않습니다. 강제적인 비밀번호 변경은 사용자로 하여금 예측 가능한 패턴(예: Summer2025 → Summer2026)을 따르게 하거나 비밀번호를 적어두게 만들기 때문입니다. 대신, 비밀번호가 유출되었거나 유출이 의심되는 경우, 보안 침해 통지를 받은 경우, 또는 더 이상 관리할 수 없는 인증 정보가 있는 경우 등 정당한 사유가 있을 때만 비밀번호를 변경해야 합니다. 비록 “아마 괜찮을 것 같다”고 생각하더라도, 노출이 확인된 경우라면 이를 변경할 충분한 이유가 됩니다. (높은 권한을 가진 관리자 자격 증명은 예외이며, 대개 정기적으로 변경됩니다.)

​

비밀번호를 안전하게 공유하는 방법

때로는 인증 정보를 어쩔 수 없이 공유해야 할 때가 있습니다. 그럴 때는 비밀번호만큼이나 정보를 전달하는 경로도 중요합니다. Slack, 이메일, 문자 메시지 등을 통해 비밀번호를 절대 전송하지 마십시오. 이러한 채널에서는 검색 가능한 기록에 남거나, 다른 사람에게 전달될 수 있으며, 계정 중 하나가 해킹당할 경우 비밀번호가 유출될 위험이 있습니다. 대신 비밀번호 관리자의 안전한 공유 기능을 통해 공유하세요. 이 기능은 자격 증명을 암호화된 상태로 유지하며, 나중에 접근 권한을 취소할 수 있게 해줍니다. 만약 비밀번호가 채팅이나 이메일을 통해 전송된 적이 있다면, 이미 유출된 것으로 간주하고 비밀번호를 변경하십시오.

​

규제 대상 산업을 위한 비밀번호 모범 사례

의료, 법률, 금융 기관은 해당 계정이 종종 규제 대상 데이터를 보호하기 때문에 추가적인 의무를 지고 있습니다. 의료 분야의 경우, 여기에는 보호 대상 건강 정보(PHI, 개인을 식별할 수 있는 건강 데이터)가 포함됩니다. 관련 프레임워크는 자격 증명 관리(credential hygiene)를 통해 충족될 수 있는 기대치를 제시합니다. 예를 들어, HIPAA 보안 규칙은 PHI를 처리하는 시스템에 대한 접근 제어 및 인증 보호 조치를 요구하며, 고유한 인증 정보와 다단계 인증(MFA)은 이러한 요구 사항을 충족하는 실용적인 방법입니다. (또한 HIPAA는 서비스 제공자가 PHI를 안전하게 보호할 책임을 지도록 하는 계약인 Business 계약(BAA)’을 통해 공급업체와의 관계를 규율합니다.)

​

한 가지 명심해야 할 점은, 규정 준수(compliance)와 보안(security)은 관련이 있지만 동일하지는 않다는 것입니다. 비밀번호 정책은 기술적으로는 구식 체크리스트의 요건을 충족시킬 수 있지만, 실제 위험 요소는 여전히 남아 있을 수 있습니다. 또한 겉보기에는 엄격해 보이는 정책(빈번한 강제 변경, 복잡한 문자 규칙 등)이, 비밀번호 길이, 고유성, 비밀번호 관리 도구, 다단계 인증(MFA)을 기반으로 한 단순한 정책보다 실제로는 보안성이 더 취약할 수 있습니다. 규제 대상 팀의 목표는 감사관에게 설득력 있게 설명할 수 있을 뿐만 아니라, 오늘날 공격자들의 수법에 대해 실질적으로 효과적인 정책을 수립하는 것입니다. 강력하고 고유한 인증 정보, MFA, 안전한 공유, 암호화된 저장소는 사용 편의성을 저해하지 않으면서도 HIPAA, SOC 2, ISO 27001과 같은 프레임워크에서 인정하는 통제 수단을 뒷받침합니다.

​

자주 묻는 질문

​

가장 안전한 비밀번호 유형은 무엇일까요?

가장 안전한 비밀번호는 비밀번호 관리자가 생성하고 저장해 주는 길고 무작위적인 비밀번호입니다. 왜냐하면 사용자가 이를 기억하거나 직접 입력할 필요가 전혀 없기 때문입니다. 꼭 외워야 하는 비밀번호 한 가지의 경우, 서로 관련이 없는 4~7개의 단어로 구성된 패스프레이즈를 사용하면 길이와 기억 용이성을 동시에 확보할 수 있습니다. 두 경우 모두, 비밀번호는 해당 계정에서만 사용되어야 합니다.

​

피해야 할 가장 흔한 비밀번호는 무엇인가요?

NordPass의 연례 분석과 같은 유출된 인증 정보에 대한 연구 결과, ‘123456’, ‘admin’, ‘password’와 같은 비밀번호가 반복적으로 상위권에 이름을 올리고 있습니다. 사전 속 단어, 이름이나 반려동물 이름, 회사명, 또는 계절명에 연도를 붙인 비밀번호 역시 같은 함정에 빠집니다. 이는 자동화된 공격이 가장 먼저 시도하는 조합이므로, 이러한 비밀번호는 절대 사용하지 마십시오.

​

비밀번호 관리 프로그램은 안전한가요?

네, 거의 모든 사람에게 있어 평판이 좋은 비밀번호 관리 도구는 비밀번호 재사용, 취약한 비밀번호, 포스트잇 등 다른 방법들보다 훨씬 안전합니다. 저장소는 암호화되어 있으며, 사용자는 다중 인증(MFA)을 활성화한 상태에서 하나의 강력한 마스터 비밀번호(가급적이면 패스프레이즈)만 안전하게 관리하면 됩니다. 또한 이러한 편의성 덕분에 수십 개의 계정에서 강력하고 고유한 비밀번호를 사용하는 것이 현실적으로 가능해집니다.

​

비밀번호는 몇 자 정도여야 할까요?

길면 길수록 더 안전합니다. NIST는 단일 요소 비밀번호의 경우 최소 15자 이상을 권장하며, 최대 64자까지 지원합니다. 반면 CISA는 최소 16자 이상을 목표로 할 것을 제안합니다. 패스프레이즈를 사용하면 기억하기 어려운 비밀번호를 만들지 않으면서도 해당 길이를 쉽게 충족할 수 있습니다.

​

비밀번호를 정기적으로 변경해야 할까요?

일반 계정의 경우 정해진 일정에 따라 변경할 필요는 없습니다. NIST는 강제적인 주기적 변경이 예측 가능한 패턴을 조장할 수 있으므로 이를 권장하지 않습니다. 보안 침해 통지나 계정 침해 징후와 같은 실질적인 계기가 있을 때 비밀번호를 변경하십시오.

​

브라우저에 비밀번호를 저장해도 안전한가요?

중요한 계정의 경우, 브라우저에 내장된 저장 기능보다 전용 비밀번호 관리자를 사용하는 것이 더 안전합니다. 브라우저에 저장된 비밀번호는 기기를 분실하거나 도난당하거나 악성코드에 감염된 경우 추출되기 쉬울 수 있습니다. 브라우저에서 로그인 정보를 저장하라는 제안이 나오더라도, 꼭 저장해야 한다면 중요도가 낮은 계정에만 제한해서 사용하십시오.

​

동료에게 비밀번호를 어떻게 알려줘야 할까요?

비밀번호 관리자의 보안 공유 기능을 사용하세요. 이 기능은 인증 정보를 암호화된 상태로 유지하며, 나중에 액세스 권한을 취소할 수 있게 해줍니다. Slack, 이메일, 문자 메시지를 통해 비밀번호를 전송하지 마세요. 만약 비밀번호가 이러한 채널 중 하나를 통해 전송된 적이 있다면, 즉시 비밀번호를 변경하세요.