보안에 대한 기사를 읽고 모든 사이트에 다른 비밀번호를 써야 한다는 걸 알게 됐습니다. 그래서 사이트마다 다른 비밀번호를 만들었습니다. 은행, 이메일, 쇼핑몰, SNS, 회사 인트라넷... 각자 다른 비밀번호를 설정했습니다.

두 달 뒤, 오래된 쇼핑몰에 로그인하려다가 비밀번호가 기억이 안 났습니다. 5번 틀리고 계정이 잠겼습니다. 여기서 쓰던 비밀번호가 뭔지 추론하려 했지만 소용없었습니다. 비밀번호 찾기를 누르니 등록 이메일이 없어진 이메일이었습니다. 계정 복구에 일주일이 걸렸습니다.

비밀번호 보안의 딜레마

보안 전문가들이 권장하는 이상적인 비밀번호는 이렇습니다.

• 사이트마다 다른 비밀번호
• 최소 12자 이상
• 대소문자, 숫자, 특수문자 혼합
• 예측할 수 없는 조합

이 기준을 따르면 비밀번호가 "Kx7!mQ2#pL9@" 같은 형태가 됩니다. 이걸 수십 개 사이트마다 다르게 만들고 기억하는 건 인간에게 불가능합니다.

비밀번호를 메모장에 적어두면 컴퓨터가 해킹됐을 때 한꺼번에 털리고, 종이에 적어두면 잃어버리거나 누가 볼 수 있습니다.

그래서 비밀번호 관리자가 필요합니다.

비밀번호 관리자가 뭔지, 어떻게 작동하는지

비밀번호 관리자는 모든 비밀번호를 암호화해서 안전하게 보관해주는 도구입니다. 마스터 비밀번호 하나만 기억하면, 나머지 모든 비밀번호는 관리자가 관리합니다.

작동 방식입니다.

1. 마스터 비밀번호로 관리자에 로그인

2. 사이트에 접속하면 자동으로 비밀번호를 채워줌

3. 새 계정 가입 시 강력한 랜덤 비밀번호를 자동 생성

4. 모든 비밀번호가 암호화되어 저장

마스터 비밀번호 하나만 강력하고 안전하게 관리하면 됩니다.

주요 비밀번호 관리자 비교

1Password: 개인 사용자용 월 3달러, 팀/가족 플랜도 있음. UI가 세련되고 기능이 풍부. 유료 전용이지만 품질이 높습니다.

Bitwarden: 무료 플랜이 충분히 강력합니다. 오픈소스라서 코드가 공개되어 있어 보안 전문가들이 감사할 수 있음. 제가 현재 사용하는 도구입니다.

LastPass: 한때 가장 유명했지만 2022년 대규모 보안 사고 이후 신뢰도가 떨어졌습니다. 현재는 위의 두 가지를 더 추천합니다.

구글/애플 내장 비밀번호 관리자: 이미 구글이나 애플 생태계에 있다면 편하게 쓸 수 있습니다. 기능이 단순하지만 없는 것보다 훨씬 낫습니다.

비밀번호 관리자 없이 현실적으로 관리하는 방법

비밀번호 관리자가 부담스럽다면 다음 방법이 차선입니다.

계정 등급 분류: 모든 계정을 같은 수준으로 보호할 필요가 없습니다.

• 핵심 계정 (이메일, 은행, 중요 업무): 강하고 유일한 비밀번호 + 2단계 인증
• 일반 계정 (쇼핑, SNS): 몇 가지 패턴 조합
• 임시/시험용: 간단한 비밀번호도 무방

패스프레이즈 사용: 기억하기 쉬우면서 강력한 비밀번호를 만드는 방법입니다. "BlueSky!Rain2024" 같이 일상 단어를 조합하면 기억하기 쉽고 무차별 대입 공격에 강합니다.

2단계 인증은 필수입니다

비밀번호가 유출되더라도 계정을 보호하는 마지막 방어선이 2단계 인증(2FA)입니다.

로그인할 때 비밀번호 외에 추가로 확인하는 방식입니다. 문자 메시지 인증(덜 안전), 인증 앱(구글 OTP, Microsoft Authenticator), 하드웨어 키 등이 있습니다.

중요한 계정, 특히 이메일과 금융 계정에는 반드시 2단계 인증을 설정하세요. 비밀번호가 유출되도 2단계 인증이 있으면 공격자가 로그인할 수 없습니다.

계정이 잠겼을 때

계정 잠김을 예방하는 게 최선이지만, 이미 잠겼다면:

• 비밀번호 찾기(재설정) 이메일이 유효한 이메일로 설정되어 있는지 확인
• 인증 수단(휴대폰 번호, 보조 이메일)이 유효한지 확인
• 서비스 고객센터 통해 신원 확인 후 계정 복구

이걸 미리 점검해두는 게 나중에 곤란한 상황을 막습니다. 비밀번호 관리자를 쓰지 않는다면, 최소한 각 계정의 복구 수단(이메일, 전화번호)은 최신으로 유지해야 합니다.