[디지털투데이 AI리포터] 비밀번호 보안 습관이 지난 10년 동안 크게 개선되지 않았다는 연구 결과가 나왔다.

9일(현지시간) IT매체 테크레이더에 따르면, 사이버보안 연구원 제레마이어 파울러(Jeremiah Fowler)는 2015년과 2025년의 비밀번호 유출 데이터를 비교 분석한 결과, 전체 비밀번호의 약 85%가 여전히 예측 가능하거나 쉽게 추측할 수 있는 형태라고 지적했다.

분석 결과에 따르면 현재 권장되는 안전한 비밀번호는 인간이 기억하기 어려운 수준의 복잡성을 요구한다. 파울러가 분석한 샘플에서 지난 10년 동안 약 15%의 비밀번호만이 대문자와 소문자, 숫자, 특수문자를 포함한 12자 이상의 무작위 문자열 형태였다.

반면 나머지 85%는 이름이나 기억하기 쉬운 문구, 또는'어드민'과 '패스워드' '쿼티'와 같은 흔한 단어에 숫자나 특수문자를 덧붙인 구조였다. 이런 형태의 비밀번호는 무차별 대입 공격에 특히 취약하다.

다만 일부 긍정적인 변화도 확인됐다. 키보드 배열이나 공간적 패턴을 활용한 비밀번호는 2015년 이후 약 15~20% 감소했다. '어드민'이나 '패스워드' 같은 단어 사용 역시 비슷한 수준으로 줄어든 것으로 나타났다. 또한 비밀번호 생성기를 이용해 만든 비밀번호 비율도 약 10~12% 증가했다. 하지만 전문가들은 여전히 많은 비밀번호가 근본적인 보안 취약점을 안고 있다고 지적한다.

2024년 연구에 따르면 평균 인터넷 사용자는 약 168개의 온라인 계정을 보유하고 있다. 각 계정마다 강력하고 고유한 비밀번호를 기억하는 것은 현실적으로 쉽지 않다. 이 때문에 많은 사용자가 동일한 비밀번호를 여러 계정에서 재사용하며 보안을 스스로 약화시키고 있다는 분석이다. 

파울러는 "사용자들은 편리함을 위해 보안을 희생하는 경우가 많다"라며 "비밀번호가 아무리 복잡해도 여러 계정에서 재사용되거나 데이터 유출, 악성코드 공격을 당하면 보호 효과가 크게 떨어진다"라고 설명했다. 또한 사이버 범죄자들의 공격 방식이 점점 정교해지고 있으며, 인공지능(AI)을 활용한 해킹 시도도 증가하고 있다고 경고했다. 그는 온라인 자격 증명을 보호하기 위해 보다 적극적인 보안 조치가 필요하다고 강조했다.

전문가들은 온라인 계정을 보호하는 가장 효과적인 방법으로 비밀번호 관리자를 권장한다. 다양한 유료 서비스가 제공되고 있으며, 일부 기업은 무료 비밀번호 관리자도 지원하고 있다. 또한 인증 앱을 활용한 다중 인증을 적용하면 별도의 기기 확인이나 생체 인증 절차가 추가돼 계정 보안을 한층 강화할 수 있다.
 

• 구글 메시지, 스마트 답장 업그레이드…'탭 투 드래프트' 기능 추가
• 대화 길어지자 부정행위도 OK…챗GPT·클로드·그록 시험해보니
• 챗GPT, 국방부 계약 논란 속 앱스토어 1위 탈환
• 애플 앱 추적 투명성 또 논란…독일 언론·광고업계 반발 확대
• 구글 번역, 자주 쓰는 언어 고정 기능 도입…편의성↑