비밀번호 관리의 모든 것
160억 건 유출 시대의 대응법

비밀번호 유출의 현실

2025년 상반기, 보안 연구자들은 충격적인 발견을 했습니다. 160억 건에 이르는 로그인 자격 증명 정보가 온라인에 노출되어 있었던 것입니다.

"합쳐서 160억건에 이르는 로그인 자격 증명 정보를 담은 초거대 데이터셋 뭉치가 온라인 공간에 노출되어 있는 것이 발견됐습니다. 이번 유출은 단일 사건이 아니라, 수개월간 약 1000만대의 기기에서 수집된 데이터가 한꺼번에 유출·통합된 것으로 분석됩니다."

보안뉴스 - 160억건 로그인 정보 유출

160억 건이라는 숫자는 전 세계 인구의 두 배가 넘습니다. 이는 대부분의 인터넷 사용자가 여러 계정 정보가 유출되었을 가능성이 높다는 의미입니다.

크리덴셜 스터핑 공격

크리덴셜 스터핑(Credential Stuffing)은 유출된 아이디/비밀번호 조합을 다른 서비스에 무차별적으로 대입하는 공격 방식입니다.

왜 위험한가?

많은 사람들이 여러 서비스에 같은 비밀번호를 사용합니다. A 사이트에서 유출된 정보로 B, C, D 사이트에 로그인을 시도하면, 상당수가 성공합니다. 자동화 도구를 사용하면 초당 수천 건의 로그인 시도가 가능합니다.

2025년 국내 피해 사례

2025년 한국에서는 크리덴셜 스터핑으로 인한 대규모 피해가 연이어 발생했습니다.

GS리테일 (GS25, GS샵)

GS25 웹사이트에서 2024년 12월부터 2025년 1월 사이 해킹이 발생해 약 9만 명의 고객 정보가 유출되었습니다. 이어 GS샵에서도 약 158만 건의 개인정보 유출이 확인되었습니다.

올리브영

2025년 3월, 올리브영도 크리덴셜 스터핑 공격을 받았습니다. 약 6만여 개의 IP로 로그인 시도가 있었고, 4,900건이 실제 로그인에 성공했습니다.

SK텔레콤, 롯데카드, 쿠팡

통신사, 금융사, 이커머스 등 다양한 분야에서 대규모 정보유출이 발생했습니다. SK텔레콤 2,696만 건, 롯데카드 297만 명, 쿠팡 3,370만 회원의 정보가 유출되었습니다.

"OWASP 팀에서 언급한 바와 같이, MFA(다중 인증)는 약 99.9%의 자동화된 공격을 막을 수 있습니다."

지니언스 - 2025년 정보유출 대란 분석

안전한 비밀번호 만들기

강력한 비밀번호는 보안의 첫 번째 방어선입니다.

좋은 비밀번호의 조건

• 길이: 최소 12자 이상 (16자 이상 권장)
• 복잡성: 대소문자, 숫자, 특수문자 혼합
• 고유성: 각 서비스마다 다른 비밀번호
• 예측 불가: 개인정보, 사전 단어 사용 금지

패스프레이즈(Passphrase) 방식

복잡한 문자열 대신 여러 단어를 조합하는 방식입니다. 예: "correct-horse-battery-staple" 기억하기 쉬우면서도 무작위 대입 공격에 강합니다.

비밀번호 저장과 관리

서비스마다 다른 복잡한 비밀번호를 기억하는 것은 불가능합니다. 안전하게 저장하고 관리하는 방법이 필요합니다.

비밀번호 관리자 사용

1Password, Bitwarden, LastPass 같은 비밀번호 관리자를 사용하면 마스터 비밀번호 하나만 기억하면 됩니다. 나머지 모든 비밀번호는 암호화되어 안전하게 저장됩니다.

2단계 인증(2FA) 필수 활성화

가능한 모든 서비스에서 2단계 인증을 활성화하세요. 비밀번호가 유출되어도 추가 인증 없이는 로그인할 수 없습니다.

• SMS 인증: 기본적인 보호 (SIM 스와핑에 취약)
• 인증 앱: Google Authenticator, Microsoft Authenticator
• 하드웨어 키: YubiKey 등 (가장 안전)

민감한 비밀번호 암호화 저장

금융 계정, 암호화폐 지갑, 중요 서비스의 비밀번호는 별도로 암호화해서 저장하는 것이 좋습니다. CodeTalk을 사용하면 비밀번호 목록을 암호화해 안전하게 보관할 수 있습니다.