대해킹시대: 비밀번호를 바꾸지 마세요!

SK텔레콤 유심 정보 유출 사고의 여파가 가시기도 전에 글로벌 빅테크의 대규모 비밀번호 유출 사건이 발생하면서, 비밀번호 유출에 따른 소비자들의 불안이 고조되고 있다.

늘어나는 정보 유출 사고

지난 6월, 보안 전문 매체 ‘사이버뉴스’는 애플, 구글, 페이스북, 텔레그램 등 주요 플랫폼의 아이디(ID)와 비밀번호를 포함해 총 160억 건의 로그인 정보가 유출되어 온라인에서 유통 중이라는 보고서를 발표했다. 이렇게 유출된 정보는 신원 도용, 계정 탈취, 피싱 등 범죄에 악용될 수 있다. ‘사이버뉴스’는 이 사건이 ‘대규모 공격의 청사진’일 수 있다는 경고도  덧붙였다.

이에 대한 반론도 나온다. 보안 전문 매체 ‘블리핑컴퓨터’는 이번 유출이 새로운 침해가 아니며, 기존에 유포되고 있던 데이터를 수집해 재포장한 것이라고 분석했다. 하지만 새로운 침해가 아니더라도 우리가 일상적으로 쓰는 아이디와 비밀번호가 온라인에서 거래되고 있다는 점은 분명하다. 전문가들은 비밀번호 변경과 함께 다중 인증(MFA, 사용자에게 암호 이외 추가 정보를 입력하도록 요구하는 다중 단계 계정 로그인 과정), 비밀번호 관리 도구, 패스키(Passkey) 등을 사용할 것을 권고한다.

인터넷의 영향력이 커지면서 사용자 1인이 관리해야 할 로그인 정보도 늘어나고 있다. 2025년 기준, 보안 전문 기업들은 인터넷 사용자 1인당 가입하고 있는 온라인 서비스를 100~170개로 추정하고 있다. 2020년의 80~100개 대비 두 배 가까이 늘어난 셈이다. 문제는 정보  유출 사고도 증가하고 있다는 점이다. 개인정보보호위원회에 따르면 2025년 1~4월에만 113건의 개인정보 유출 사고가 발생했으며, 이는 전년 대비 3배에 이르는 수치다.

정보 보호의 1차 책임은 당연히 정보를 보유한 기업과 기관에 있다. 그러나 피해를 줄이기 위해서는 사용자 차원의 대응도 필요하다. 대표적인 예가 비밀번호를 주기적으로 바꾸는 것이다. 

한국의 기업과 공공기관 다수는 지금도 3~6개월 주기의 비밀번호 변경을 요구하고 있다. 사용자에게 불편함을 준다는 지적이 있지만, 보안을 위해 감수해야 한다는 목소리가 작지않다. 그런데 이런 정책이 실제로 보안을 강화하는 데 효과가 있을까?

비밀번호 변경 요청이 만든 역효과

이와 관련해 부정적 효과를 강조하는 연구들이 적잖다. 미국 노스캐롤라이나대학교 연구팀이 대학 구성원들의 비밀번호 변경 이력을 분석한 결과, 다수가 기존 비밀번호에서 숫자를 증가시키거나 특수문자를 덧붙이는 등 단순 변형하는 경향을 보였다. 노스캐롤라이나대학교는 구성원들에게 3개월마다 비밀번호를 바꿀 것을 요구하고 있었다.

이 같은 패턴은 예측이 쉬워 오히려 보안을 약화시키는 결과로 이어졌다. 실제로 연구팀은 해당 방식으로 바뀐 비밀번호를 추론해 실제 계정에 침입하는 데 성공했다. 이는 사용자의 경험과 행동을 고려하지 못한 정책이 예상치 못한 문제를 야기할 수 있음을 보여준다.

이런 사례는 우리 주변에서도 어렵지 않게 발견할 수 있다. 비밀번호 변경을 요구받고 새 비밀번호로 바꾼 뒤 다시 예전 비밀번호로 되돌리는 사례도 발견된다. 최악의 경우는 비밀번호를 메모지에 적어 모니터에 붙여두는 것이다. 실제로 2018년 하와이 미사일 경보 오보 사건 당시, 기관장의 언론 보도에 비밀번호가 담긴 포스트잇이 노출되어 큰 비판을 받았다.

비밀번호의 주기적 변경은 2010년대 후반까지만 하더라도 국제 표준에 가까웠다. 미국 국립표준기술연구소(NIST)는 2003년 인증보안기술 가이드라인 부속서를 통해 패스워드 설정 규칙을 수립한 이후, 2007년 ‘디지털 신원 지침서’를 통해 8자 이상, 영문 대소문자와 숫자·특수문자 조합, 90일 주기 변경 등을 권고했다.

한국인터넷진흥원(KISA)도 2008년 발간한 ‘패스워드 선택 및 이용 안내서’를 통해 유사한 기준을 제시했다. 당시 비밀번호의 주기적 변경이 권장되었던 것은 비밀번호 유출 탐지가 어려웠던 상황에서, 비밀번호가 유출되는 경우에도 공격자가 이를 악용할 수 있는 기간을 줄이기 위한 목적이 컸다.

비밀번호 변경 요구 막는 게 새 글로벌 스탠다드

하지만 온라인 환경은 급격하게 바뀌고 있다. 비밀번호의 주기적인 변경 요구가 오히려 보안을 악화시킬 수 있다는 점이 지속적으로 확인되고, 세계적 추세도 주기적 변경 대신 유출이 확인되었을 때 즉시 변경을 강제하는 쪽으로 바뀌고 있다.

이에 따라 마이크로소프트는 2018년부터 관련 정책을 폐기했고,  미국 국립표준기술연구소(NIST)는 2017년 개정에서 주기적 변경 요구를 금지 권고(SHOULD NOT) 항목으로 전환하였다. 나아가 2024년 개정(안)에는 이를 아예 금지 의무(SHALL NOT)로 격상하는 내용까지 포함되었다.

한국도 큰 틀에서는 이 흐름을 따르고 있다. 한국인터넷진흥원(KISA)은 2019년 ‘패스워드 선택 및 이용 안내서’에서 비밀번호의 주기적 변경 항목을 삭제했고, 개인정보보호위원회는 2023년 주기적 변경 의무를 공식적으로 폐지했다. 지금은 변경 주기를 명시한 법령이나 지침은 거의 사라진 상태다.

아쉬운 점은 이러한 변화가 단순히 불편함 해소를 위한 규제 혁신으로만 여겨지고 있다는 것이다. 보안을 앞세워 편리함을 포기하지 않아도 된다. 보안과 편리함은 제로섬이 아니기 때문이다. 앞서 살펴본 것처럼 주기적 변경 요구 폐지는 단순히 불편함을 줄이기 위한 조치가 아니라, 오히려 보안을 강화할 수 있는 근거 있는 정책 변화다.

한편, 일부 금융기관, 온라인 커뮤니티, 학교 등에서는 여전히 주기적인 비밀번호 변경을 요구하고 있다. 오랜 기간 통용되었던 표준이자 관행이었던 만큼, 새 표준이 일선까지 적용되는 데에는 상당한 시간과 노력이 필요할 것이다. 특히 민간 기업의 보안 부서가 목소리를 내는 데 한계가 있는 만큼, 정부 차원의 적극적인 가이드라인 확산과 지원이 요구된다.

정보 유출의 파급효과는 특정 기관에만 국한되지 않는다. 다수의 사용자가 유사한 아이디·비밀번호 조합을 활용하기 때문이다. 따라서 한 곳의 사고가 다른 곳의 공격으로 이어지기 쉽다. 인공지능(AI) 시대, 정보 자산의 가치가 높아질수록 보안 위협도 커지고 있다. 이제는 사용자의 현실을 반영한 적극적인 보안 정책이 필요하다. 모쪼록 새 정부에서는 이를 반영한 논의가 이루어질 수 있기를 기대한다.