본문 바로가기
인터넷·서비스

비밀번호 관리법 2026 총정리 - 안전한 비밀번호 만들기와 2단계 인증

by 꿀팁 모으는 직장인 2026. 6. 26.

비밀번호 관리법 2026 총정리 - 안전한 비밀번호 만들기와 2단계 인증

안전한 비밀번호 관리의 핵심은 세 가지다. 사이트마다 다른 비밀번호를 쓰고, 그것을 비밀번호 관리자로 저장하며, 2단계 인증을 SMS 문자가 아닌 인증 앱·보안키·패스키로 설정하는 것이다. 이 세 가지는 미국 NIST, 한국 KISA, FBI·CISA, FIDO 얼라이언스 등 여러 출처에서 일관되게 확인된다.

같은 비밀번호를 여러 사이트에 돌려쓰거나, 비밀번호를 종이·메모장에 적어두거나, SMS 인증만 쓰고 있다면 이 글이 점검 기준이 된다. 아래에서 비밀번호 길이 기준(NIST·KISA), 비밀번호 관리자, 2단계 인증 방식 비교, 패스키, 단계별 체크리스트를 2026년 6월 기준으로 정리한다.

비밀번호 관리, 무엇부터 해야 하나 (핵심 요약)

개인 사용자가 실제로 효과를 보는 순서는 아래 표와 같다. 길이·복잡도 규칙을 외우기보다 이 우선순위를 따르는 것이 현실적이다.

우선순위 할 일 이유
1 사이트마다 다른 비밀번호 사용 한 곳이 유출돼도 다른 계정이 안전
2 비밀번호 관리자로 생성·저장 다른 비밀번호를 외우지 않아도 됨
3 중요 계정에 2단계 인증 설정 비밀번호가 유출돼도 계정 방어
4 2단계 인증을 SMS 아닌 앱·보안키로 SMS는 가로채기·번호 탈취에 취약
5 지원하는 서비스에 패스키 등록 피싱에 본질적으로 강한 차세대 방식

기준일은 2026년 6월 22일이다. 비밀번호 정책과 관리자 가격 등은 변경될 수 있으므로, 세부 사항은 각 기관·서비스 공식 자료를 최종 확인하는 것이 좋다.

비밀번호는 몇 자리가 안전한가? (NIST vs KISA)

길수록 안전하다. 다만 권장 기준은 글로벌 표준과 국내 안내서가 서로 다르므로 둘을 나란히 본다.

미국 국립표준기술연구소(NIST)의 디지털 신원 가이드라인 SP 800-63B 버전 4는 비밀번호가 단독 인증수단일 때 검증자가 최소 15자를 요구하도록 한다(SHALL). 다요소 인증(MFA)과 함께 쓰일 때의 최소 길이는 8자이며, 시스템은 최소 64자까지 허용하도록 한다(SHOULD). 동시에 NIST는 특수문자·대소문자 혼합 같은 복잡도(구성) 규칙 강제를 금지한다(SHALL NOT). 복잡도보다 길이를 우선하는 방향이다. (NIST SP 800-63B-4 Sec.3.1.1.2, 문서일자 2025-08-26 기준)

국내에서 가장 널리 인용되는 공식 자료는 한국인터넷진흥원(KISA)의 「패스워드 선택 및 이용 안내서」다. 이 안내서는 문자 종류 3가지 이상(영대문자·영소문자·숫자·특수문자 중) 조합 시 최소 8자 이상, 문자 종류 2가지 이상 조합 시 최소 10자 이상을 안전한 비밀번호로 권고한다. 이 안내서는 2019년 6월 개정본으로, 2026년 6월 기준 약 7년 전 자료라는 점은 감안할 필요가 있다.

항목 NIST SP 800-63B 버전 4 KISA 패스워드 안내서
최소 길이 단독 사용 시 15자, MFA 동반 시 8자 문자 3종↑ 조합 8자, 2종↑ 조합 10자
복잡도(문자 종류 혼합) 강제 금지 문자 종류 조합 권고
주기적 변경 강제 금지(유출 의심 시만) 변경 주기 권고 삭제(2019 개정)
유출 비밀번호 차단 차단 목록 대조 요구 (해당 규정 없음)
기준 시점 2025-08 문서 2019-06 개정

두 기준은 세부 수치와 접근법이 다르지만 충돌이라기보다 방향 차이로 볼 수 있다. 공통점은 명확하다. 충분히 길게 만들고, 추측 가능한 정보(생일·전화번호·일련번호)는 피하며, 주기적인 강제 변경은 더 이상 권장되지 않는다는 점이다. 참고로 NIST의 "최소 15자"는 서비스(시스템) 측 검증자에 부과되는 요구사항이므로, 개인 입장에서는 "사이트가 허용하는 한 길게, 가능하면 15자 이상"으로 해석하는 것이 정확하다.

KISA가 피하라고 안내하는 패턴은 동일 문자 반복(aaabbb, 123123), 키보드 인접 문자열(qwe 등), 일련번호(123456789), 가족 이름·생일·전화번호 등 추측 가능한 개인정보다.

비밀번호를 주기적으로 바꿔야 하나?

유출이 의심될 때만 바꾸면 된다. NIST는 주기적인 강제 변경을 금지하고(SHALL NOT require periodic change), 유출이 의심될 때만 변경하도록 한다(2025-08 문서 기준). KISA도 2019년 개정에서 비밀번호 변경 주기 권고를 삭제했다. 즉 "3개월마다 무조건 변경"은 두 기준 모두에서 더 이상 요구하지 않는 항목이다.

비밀번호 재사용이 왜 위험한가? (크리덴셜 스터핑)

비밀번호 재사용은 가장 흔하고 현실적인 위협이다. 한 사이트에서 아이디·비밀번호 조합이 유출되면, 공격자가 그 조합을 다른 사이트에 자동으로 대입하는 크리덴셜 스터핑(credential stuffing) 공격이 가능해진다. 한 곳만 뚫려도 같은 조합을 쓰는 모든 계정이 위험해진다.

업계 조사에 따르면 이용자의 약 81%가 둘 이상의 사이트에서 같은 비밀번호를 재사용한다는 통계가 있다(2025년 보안업체 2차 통계). 이런 수치는 조사 방법·표본에 따라 달라질 수 있어 절대값으로 단정하기 어렵지만, 재사용이 광범위하다는 경향 자체는 여러 자료에서 일관되게 나타난다. NIST가 유출·흔한 비밀번호 차단 목록 대조를 명문으로 요구하는 것도 같은 맥락이다.

비밀번호 관리자를 믿어도 되나?

비밀번호 관리자는 사이트마다 다른 강력한 비밀번호를 자동 생성·암호화 저장하고, 사용자는 마스터 비밀번호 하나만 기억하면 되는 도구다. 재사용 문제를 가장 현실적으로 해결한다. NIST가 "붙여넣기 허용"을 권고하는 이유도 비밀번호 관리자 사용을 돕기 위해서다.

작동의 핵심은 제로 지식(zero-knowledge) 암호화다. 저장 데이터는 사용자 기기에서 마스터 비밀번호로 암호화돼, 서버에는 복호화 키 없이 암호문만 보관된다. 구조상 서비스 사업자도 저장 내용을 보지 못한다. 유형은 파일을 직접 관리하는 로컬형(KeePassXC 등)과 기기 간 동기화가 편리한 클라우드형(Bitwarden·1Password 등)으로 나뉜다.

단, 비밀번호 관리자도 마스터 비밀번호가 뚫리면 전부 위험하다. 따라서 마스터 비밀번호는 길고 추측 불가능하게 만들고, 관리자 계정 자체에도 2단계 인증을 설정하는 것이 전제다.

대표 제품을 중립적으로 비교하면 아래와 같다. 가격·플랜은 2026년 들어 변동이 잦으므로, 최신 가격은 각 공식 사이트에서 확인하는 것이 좋다.

항목 Bitwarden 1Password
무료 플랜 비밀번호·기기 무제한(관대) 없음(14일 체험만)
오픈소스·자체 호스팅 가능 해당 없음
강점 무료 범위가 넓음 앱 완성도·UX
유료 가격(2026 기준) Premium 연 약 $19.80(2026-01 인상) 2026-03 인상으로 개인용 중 비싼 편

특정 제품을 강권하거나 비추하기보다, 무료 범위가 넓은 쪽과 사용 경험을 중시하는 쪽으로 성격이 갈린다고 보면 된다. (제품 비교는 2026년 2차 비교 매체 기준)

SMS 문자 인증은 안전한가? (2단계 인증 방식 비교)

SMS 문자 인증은 2단계 인증 방식 중 가장 약한 편이다. 번호 탈취(SIM 스와핑), 통신망 취약점, 미암호화 전송 때문에 가로채기·피싱에 노출된다. 2024년 12월 미국 FBI와 CISA는 중국발 통신망 침해(Salt Typhoon) 이후 SMS 기반 인증을 피하고, 인증 앱·하드웨어 보안키 같은 피싱 저항(phishing-resistant) 인증으로 전환하라고 공식 권고했다.

2단계 인증은 비밀번호(아는 것)에 더해 두 번째 요소(가진 것·생체)를 요구해, 비밀번호가 유출돼도 계정을 지키는 장치다. 다만 방식별 보안 수준이 크게 다르므로 아래 표로 구분한다.

방식 보안성 편의성 권장 용도
SMS 문자 가장 약함 도입 쉬움 다른 수단이 없을 때 최후 수단
인증 앱(TOTP) 중상 보통 일상 계정 전반
하드웨어 보안키(FIDO2) 최고(피싱 저항) 별도 기기 필요 이메일·금융 등 중요 계정
패스키 높음(피싱 저항) 생체로 간편 지원하는 서비스

인증 앱(구글 OTP·Authy 등)은 코드를 기기에서 자체 생성해 통신망으로 전송되지 않아 SMS보다 안전하다. 하드웨어 보안키(YubiKey 등)는 피싱 저항성이 가장 높아 이메일·금융 같은 중요 계정에 적합하다. 참고로 SMS 2FA의 공격 차단율이 인증 앱·보안키보다 낮다는 구글 연구 인용 수치도 있으나, 이는 2차 인용 자료이므로 보조 참고로만 본다.

패스키가 비밀번호를 완전히 대체하나?

방향은 그렇지만 2026년 현재는 아직 과도기다. 패스키(passkey)는 FIDO 표준 기반의 비밀번호 없는 인증 방식으로, 비밀번호 대신 공개키·개인키 암호화 키 쌍을 쓴다. 개인키는 사용자 기기(휴대폰·PC·보안키)에 보관돼 외부로 나가지 않고, 로그인 시 지문·얼굴 같은 생체인증이나 기기 잠금으로 승인한다. 서버에는 공개키만 저장돼 유출돼도 악용이 어렵고, 가짜 사이트에 입력될 일이 없어 피싱에 본질적으로 강하다.

확산도 빠르다. FIDO 얼라이언스 집계상 10억 명 이상이 1개 이상 패스키를 활성화했고, 150억 개 이상의 온라인 계정이 패스키를 지원한다. 상위 100개 웹사이트 중 48%가 패스키를 지원하며, 이는 2022년 대비 2배 이상이다(2025년 10월 FIDO 얼라이언스 Passkey Index 기준). 구글·애플·마이크로소프트·아마존 등 글로벌 빅테크가 지원하며, 국내에서도 일부 서비스가 도입·시범 중인 것으로 알려졌다.

다만 아직 모든 서비스가 패스키를 지원하지는 않는다. 따라서 2026년 현재 현실적인 방법은 비밀번호 관리자 + 2단계 인증을 기본으로 하고, 지원하는 서비스에는 패스키를 추가로 등록하는 병행 전략이다.

복잡한 기호 조합이 꼭 좋은가? (패스프레이즈)

최근 흐름은 복잡도보다 길이를 중시한다. 복잡한 기호 조합(Tr0ub4dor&3 식)보다, 무작위 단어 여러 개를 잇는 패스프레이즈(correct-horse-battery-staple 식)가 외우기 쉬우면서도 강할 수 있다는 것이 보안계의 통념이다. 단어 4개는 약 51비트 엔트로피로 "꽤 강함" 수준이고, 전자프런티어재단(EFF)은 더 높은 보안을 위해 긴 단어목록에서 단어 6개 이상(약 77비트)을 권한다(EFF Diceware 2025-08 기준).

실전 포인트는 비트 강도 자체보다, 사람이 실제로 외워서 적어두지 않느냐다. 무작위 기호 비밀번호는 결국 메모하게 돼 현실 보안이 떨어지기 쉽다. 다만 패스프레이즈도 사이트마다 다르게 써야 하므로, 결국 외워야 할 것은 비밀번호 관리자의 마스터 비밀번호 하나로 두는 것이 가장 현실적이다.

비밀번호 점검 7단계 체크리스트

지금 바로 따라 할 수 있는 점검 순서다.

  1. 재사용 점검 — 여러 사이트에 같은 비밀번호를 쓰고 있는지 확인한다.
  2. 비밀번호 관리자 도입 — 사이트별 다른 비밀번호를 생성·저장한다.
  3. 마스터 비밀번호 강화 — 길고 추측 불가능한 패스프레이즈로 만든다.
  4. 중요 계정 2단계 인증 — 이메일·금융부터 2FA를 켠다.
  5. SMS → 앱·보안키 전환 — SMS 인증을 인증 앱이나 보안키로 바꾼다.
  6. 패스키 등록 — 지원하는 서비스에 패스키를 추가한다.
  7. 유출 점검 — 유출 점검 서비스나 관리자의 유출 모니터링 기능으로 확인한다.

자주 묻는 질문 (FAQ)

Q. 비밀번호는 몇 자리가 안전한가?
길수록 안전하다. NIST는 단독 사용 시 15자 이상을 요구하고, KISA는 문자 조합에 따라 8~10자 이상을 권고한다. 기준이 다르므로 "사이트가 허용하는 한 길게"가 안전한 해석이다.

Q. 비밀번호를 주기적으로 바꿔야 하나?
유출이 의심될 때만 바꾸면 된다. NIST와 KISA(2019 개정) 모두 주기적인 강제 변경을 권장하지 않는다.

Q. 비밀번호 관리자를 믿어도 되나?
제로 지식 암호화 구조라 사업자도 저장 내용을 보지 못한다. 단, 마스터 비밀번호 강화와 관리자 자체의 2단계 인증이 전제다.

Q. SMS 문자 인증은 안전한가?
가장 약한 방식이다. SIM 스와핑·가로채기에 취약해 2024년 12월 FBI·CISA가 회피를 권고했다. 인증 앱·보안키·패스키를 권한다.

Q. 패스키가 비밀번호를 완전히 대체하나?
방향은 그렇지만 2026년 현재는 과도기다. 지원 서비스에 등록하되 비밀번호 관리자·2단계 인증과 병행하는 것이 현실적이다.

출처·기준일·고지

  • NIST Special Publication 800-63B(Digital Identity Guidelines, 버전 4) — pages.nist.gov/800-63-4/sp800-63b.html (문서일자 2025-08-26)
  • KISA 패스워드 선택 및 이용 안내서 — kisa.or.kr 자료실 (2019-06 개정)
  • FIDO Alliance Passkey Index — fidoalliance.org (2025-10)
  • FBI·CISA SMS 인증 회피·피싱 저항 MFA 권고 — TechCrunch·NPR 보도 (2024-12)
  • EFF Diceware 패스프레이즈 가이드 — eff.org (2025-08)
  • 비밀번호 관리자 비교·가격: CyberInsider·Cybernews 등 2026년 비교 매체 / 재사용·유출 통계: 보안업체 2차 통계(2025)

기준일은 2026년 6월 22일이다. 비밀번호 정책, 비밀번호 관리자 가격·플랜, 국내 패스키 도입 현황은 변경될 수 있으므로, 설정·가입 전 각 기관·서비스의 공식 자료를 최종 확인하는 것이 좋다. 어떤 방법도 100% 안전을 보장하지는 않으며, 위 정보는 일반 개인 사용자를 위한 정리다.