2024년 어느 날 밤, 한 온라인 쇼핑몰 사장님이 잠을 자고 있었습니다.
그 사이, 누군가가 관리자 계정에 로그인했습니다.
고객 이름, 연락처, 주소, 주문 내역.
전부 다운로드됐습니다.
사장님이 이 사실을 알게 된 건 2주 후였습니다.
그 관리자 계정의 비밀번호는 admin1234 였습니다.
이게 먼 나라 이야기가 아닌 이유
매년 보안 전문 기업 NordPass는 전 세계에서 가장 많이 쓰이는 비밀번호 200개를 공개합니다.
2023년 보고서를 보면 충격적인 사실이 하나 있습니다.
1위 비밀번호를 해커가 뚫는 데 걸리는 시간이 1초 미만입니다.
그리고 그 비밀번호를 전 세계에서 4,524,867명이 쓰고 있습니다.
그 비밀번호는 바로 123456 입니다.
(출처: NordPass Most Common Passwords 2023)
해커들이 가장 먼저 시도하는 비밀번호 TOP 10
NordPass 2023 보고서 기준, 전 세계에서 가장 많이 쓰이는 비밀번호 10가지입니다. 괄호 안은 해커가 뚫는 데 걸리는 시간입니다.
| 순위 | 비밀번호 | 뚫리는 시간 | 사용자 수 |
|---|---|---|---|
| 1위 | 123456 | 1초 미만 | 4,524,867명 |
| 2위 | password | 1초 미만 | 3,645,804명 |
| 3위 | 123456789 | 1초 미만 | 2,454,842명 |
| 4위 | 12345678 | 1초 미만 | 1,371,081명 |
| 5위 | 12345 | 1초 미만 | 961,435명 |
| 6위 | iloveyou | 1초 미만 | 791,832명 |
| 7위 | 1234567890 | 1초 미만 | 654,743명 |
| 8위 | 1234567 | 1초 미만 | 585,765명 |
| 9위 | password1 | 1초 미만 | 521,444명 |
| 10위 | qwerty123 | 1초 미만 | 440,456명 |
10개 전부 1초 미만입니다.
해커가 1초 만에 뚫는다는 게 정확히 어떤 의미인가요?
쉽게 말하면 이렇습니다.
해커들에게는 "자주 쓰이는 비밀번호 목록" 이 있습니다.
수백만 건의 데이터 유출 사고에서 모인 실제 비밀번호들을 정리한 목록입니다.
해킹 프로그램은 이 목록을 순서대로, 자동으로, 1초에 수천 번씩 입력해봅니다.
123456 은 거의 모든 목록의 1번입니다.
그러니 1초 미만이 걸립니다.
이걸 사전 공격(Dictionary Attack) 이라고 부릅니다.
"나는 이름 + 생년월일로 쓰는데, 그건 괜찮지 않나요?"
아쉽게도 그것도 위험합니다.
홍길동1990 처럼 이름 + 숫자 조합은 해커들이 두 번째로 시도하는 방식입니다.
이름, 생년월일, 가족 이름, 좋아하는 팀 이름 — 이런 정보들은 SNS에 공개되어 있는 경우가 많습니다.
해커들은 이 정보를 조합해서 자동으로 시도합니다.
이걸 개인 맞춤 사전 공격 이라고 부릅니다.
내 비밀번호가 안전한지 확인하는 방법
지금 바로 확인할 수 있습니다.
haveibeenpwned.com 은 보안 전문가 트로이 헌트가 만든 무료 서비스입니다.
이메일 주소를 입력하면 "이 이메일이 데이터 유출 사고에 포함된 적이 있는지" 를 알려줍니다.
2024년 현재 이 사이트에는 134억 건 이상의 유출된 계정 정보가 등록되어 있습니다.
직접 비밀번호를 입력하는 것이 아니기 때문에 안전합니다.
→ haveibeenpwned.com 에서 확인해보세요.
안전한 비밀번호 만드는 규칙 3가지
복잡하게 생각할 필요 없습니다.
첫 번째: 12자 이상
길이가 1자 늘어날수록 해커가 뚫는 시간이 수십 배씩 늘어납니다.
password → 1초 미만 password! → 5분 passw0rd!2024 → 수백 년
두 번째: 의미 없는 조합
기억하기 어렵다면 문장으로 만드세요.
"내 강아지 이름은 초코이고 2019년에 입양했다" → Choco&2019_DogMy!
세 번째: 서비스마다 다른 비밀번호
한 곳에서 유출되면 다른 곳도 모두 뚫립니다.
비밀번호 관리 앱(1Password, Bitwarden 등)을 사용하면 하나만 기억해도 됩니다.
홈페이지 관리자 계정도 똑같습니다
개인 계정 이야기를 했는데, 사업을 하시는 분들에게는 하나 더 확인이 필요합니다.
홈페이지 관리자 계정의 비밀번호입니다.
워드프레스 /wp-admin, 쇼핑몰 관리자 페이지, 호스팅 계정.
이 계정들이 admin, 1234, password 같은 비밀번호를 쓰고 있다면, 지금 이 순간에도 자동화된 공격이 시도되고 있을 수 있습니다.
(주)비젼솔루션 무료 보안 진단은 관리자 계정 보안, SSL 상태, 보안 헤더 등 홈페이지의 취약점을 자동으로 점검합니다. URL 하나만 입력하면 결과가 이메일로 옵니다.
오늘 당장 할 수 있는 것 하나 haveibeenpwned.com 에서 이메일 주소를 검색해보세요. 이미 유출됐다는 결과가 나온다면, 그 이메일과 같은 비밀번호를 쓰는 모든 계정의 비밀번호를 지금 바꾸세요.