비밀번호 재사용의 위험성과 크리덴셜 스터핑 예방을 위한 보안 습관

비밀번호를 사이트마다 다르게 쓰면 된다는 사실, 모르는 사람이 있을까요? 그런데 왜 우리는 알면서도 같은 비밀번호를 계속 돌려 씁니까? 저도 직접 계정이 털리고 나서야 그 질문의 답을 제대로 이해했습니다. 문제는 지식이 아니라 구조였습니다.

복잡한 규칙보다 중요한 것은 계정별 독립적인 비밀번호 사용과 2단계 인증 설정입니다.

방심이 만들어낸 틈

저도 오랫동안 비슷한 비밀번호를 여러 사이트에서 사용했습니다. 기억하기 쉽게 같은 단어 뒤에 연도만 바꾸는 식이었습니다. 솔직히 당시에는 그게 위험하다는 걸 몰라서가 아니었습니다. "설마 나한테"라는 생각이 훨씬 더 강했습니다.

어느 날 이상한 로그인 알림 메일이 연달아 오기 시작했습니다. 제가 접속하지 않은 기기와 지역에서 로그인이 시도됐다는 내용이었고, 며칠 뒤에는 실제로 한 사이트 비밀번호가 바뀌어 있었습니다. 연결된 이메일 계정에서도 인증 요청이 쏟아졌습니다. 그때 느낀 감정은 공포보다 피로감에 가까웠습니다. 연결된 계정을 전부 뒤지고, 비밀번호를 하나하나 바꾸고, 결제 정보까지 확인하는 데 며칠이 걸렸습니다.

이런 공격 방식을 크리덴셜 스터핑(Credential Stuffing)이라고 부릅니다. 크리덴셜 스터핑이란 다른 사이트에서 유출된 아이디·비밀번호 조합을 자동화 프로그램으로 대량 시도하는 공격 방식입니다. 한 곳의 비밀번호가 새면 같은 조합을 쓰는 다른 계정까지 연쇄적으로 위험해지는 이유가 바로 여기 있습니다. 제가 직접 겪어보니 이건 가능성의 문제가 아니라 시간의 문제였습니다.

실제로 해외에서는 대규모 계정 정보 유출 사고가 반복되고 있으며, 유출된 데이터는 다크웹에서 거래되어 피싱이나 계정 탈취에 악용되고 있습니다(출처: 한국인터넷진흥원(KISA)). 제 경험이 특별한 사례가 아니라는 뜻입니다.

크리덴셜 스터핑보다 무서운 건 '구조적 방심'

보안 전문가들이 비밀번호 재사용이 위험하다고 오래전부터 말해왔는데, 왜 사람들은 계속 같은 실수를 반복할까요? 제 생각에 이건 개인의 부주의 문제가 아닙니다.

비밀번호를 사이트마다 다르게 만들고, 대문자·소문자·특수문자를 조합하고, OTP(One-Time Password)까지 설정하는 과정은 지금 당장 귀찮음으로 느껴집니다. OTP란 로그인할 때마다 새로 생성되는 일회용 인증번호로, 비밀번호가 유출되더라도 계정 접근을 막아주는 추가 보안 장치입니다. 반면 이 과정을 건너뛰었을 때 생기는 위험은 바로 눈앞에 보이지 않습니다. 이 비대칭이 문제입니다.

저는 이 부분이 단순히 개인의 의지력 문제만은 아니라고 생각합니다. 많은 서비스들이 로그인 편의성을 최우선으로 설계하면서도, 사용자가 보안을 쉽게 관리할 수 있는 구조는 제대로 갖추지 않는 경우가 많기 때문입니다.

비밀번호 정책과 관련해서 NIST(미국 국립표준기술연구소)는 단순히 복잡한 비밀번호를 강제하는 것보다 길이와 유출 여부 확인이 더 중요하다는 가이드라인을 발표한 바 있습니다(출처: NIST). 여기서 NIST란 미국 연방정부 산하의 기술 표준 기관으로, 사이버보안 분야에서 전 세계적으로 참고되는 권고 기준을 제시하는 곳입니다. 그런데 실제로 많은 사이트들은 여전히 "특수문자 1개 이상 포함" 같은 형식적 규칙만 강제하고 있습니다. 제 경험상 이런 구조에서는 사용자가 아무리 의식이 있어도 결국 편한 쪽으로 흐르게 됩니다.

보안 습관을 바꾸는 현실적인 방법

계정이 털리고 난 뒤 저는 비밀번호 관리 방식을 완전히 바꿨습니다. 가장 먼저 한 건 패스워드 매니저(Password Manager) 도입이었습니다. 패스워드 매니저란 사이트마다 다른 복잡한 비밀번호를 자동으로 생성하고 암호화된 저장소에 관리해 주는 앱 또는 소프트웨어입니다. 처음에는 이것도 귀찮게 느껴질 것 같았는데, 막상 써보니 기억할 게 마스터 비밀번호 하나뿐이라 오히려 더 편했습니다. 제가 직접 써봤는데, 이건 예상 밖의 편리함이었습니다.

보안 습관을 바꿀 때 우선순위를 두면 훨씬 덜 부담스럽습니다. 제 경험상 아래 순서로 시작하는 게 현실적입니다.

• 이메일과 금융 계정 비밀번호부터 독립적으로 변경하기 (다른 계정의 복구 수단이 되기 때문에 가장 중요)
• 패스워드 매니저 앱 하나 설치해서 새 비밀번호부터 저장하기 시작
• 주요 계정에 2단계 인증(2FA) 설정하기. 2FA란 비밀번호 입력 후 추가로 본인 확인을 요구하는 방식으로, 비밀번호가 유출돼도 계정을 지켜주는 이중 잠금장치입니다
• 유출 여부 확인 서비스(예: Have I Been Pwned)로 내 이메일 주소가 유출 목록에 있는지 점검하기

솔직히 이 과정이 하루 만에 끝나는 일은 아닙니다. 하지만 제 경험상 이건 딱 한 번만 힘들면 됩니다. 설정을 마치고 나면 이후로는 오히려 보안에 대해 신경 쓰는 시간이 크게 줄었습니다.

보안을 "언젠가는 해야 할 일"로 미루는 동안 공격자들은 유출된 데이터를 활용해 자동화된 방식으로 계정을 시도하고 있습니다. 저처럼 직접 겪고 나서야 움직이는 것보다, 지금 계정 하나부터 바꾸는 게 훨씬 낫습니다.

비밀번호 관리는 결국 습관의 문제입니다. 처음 진입 장벽만 넘으면 그다음은 생각보다 어렵지 않습니다. 가장 중요한 계정 하나의 비밀번호를 오늘 바꾸는 것으로 시작해 보시길 권합니다. 작은 것 하나가 연쇄 피해를 막는 가장 현실적인 방법입니다.

---

참고: https://www.ohmynews.com/NWS_Web/Series/series_premium_pg.aspx?CNTN_CD=A0003148341