우리는 모두 수학적으로 깰 수 없는 비밀번호를 만들기 위해 주의를 기울여야 합니다. 그리고 귀하가 비밀번호에 이름과 생년월일을 사용하는(새 창) 수십만 명의 사람들 중 한 명이라면, 이제는 분명 로그인 보안을 강화해야 할 때입니다.
이 글에서는 온라인 보안에 큰 도움이 되는 비밀번호 엔트로피를 추정하고 개선하는 방법을 설명합니다. 하지만 절충해야 할 부분이 있습니다. 비밀번호의 엔트로피를 최대화한다는 것은 본질적으로 귀하가 비밀번호를 기억하는 것을 불가능하게 만든다는 의미입니다. 늘 그렇듯이, 이 문제를 요약한 XKCD 만화가 있습니다(새 창).
우리 모두가 가입하는 온라인 서비스의 수(최소 수십 개)를 고려할 때, 일반적인 사람이 각각의 서비스에 대해 강력한 비밀번호를 암기하는 것은 거의 불가능합니다.
그렇기 때문에 극도로 높은 엔트로피를 가진 비밀번호를 생성할 수 있는 Proton Pass와 같은 비밀번호 관리자를 사용하는 것을 권장합니다. 비밀번호 관리자가 귀하를 대신해 비밀번호를 기억하고 자동완성해 줍니다.
아래에서는 비밀번호 엔트로피가 무엇을 의미하는지, 어떻게 계산할 수 있는지, 그리고 비밀번호 강도에 어떤 영향을 미치는지 설명합니다. 이를 통해 귀하의 비밀번호 관리자에서 가장 안전한 설정을 선택(하거나 엔트로피가 매우 낮은 비밀번호를 요구하는 서비스의 로그인을 방지)하는 데 도움을 받을 수 있습니다.
“비밀번호 엔트로피”는 무엇을 의미하나요?
비밀번호 엔트로피는 귀하의 비밀번호나 문구를 얼마나 예측하기 어려운지를 나타내며, 비트(bits) 단위로 측정됩니다. 일반적으로 엔트로피 비트 수가 많을수록 비밀번호가 더 복잡해지고, 무차별 대입 공격(brute force attacks)을 뚫기가 더 어려워집니다.
무차별 대입 공격자는 시행착오를 통해 로그인 자격 증명, 비밀번호, 암호화 데이터의 문자 조합을 추측합니다.
예를 들어, 많은 해커는 몇 분 안에 수천 개의 비밀번호 추측을 자동화하기 위해 복잡한 스크립트와 머신을 사용합니다. 가장 놀라운 사례 중 하나로, 연구원들은 초당 최대 3,500억 번의 비밀번호 추측(새 창)을 처리했습니다.
공격자는 취약한 비밀번호를 빠르게 알아내기 위해 무차별 대입 공격을 사용합니다. 귀하의 비밀번호 엔트로피를 측정하고 우선시함으로써, 이러한 데이터가 잘못된 사람의 손에 들어가는 것을 방지할 수 있습니다.
비밀번호 엔트로피는 비밀번호 강도에 어떤 영향을 미치나요?
여러 요인이 비밀번호의 엔트로피와 결과적으로 그 강도에 영향을 미칩니다. 귀하의 비밀번호의 다음 요소를 고려해야 합니다:
- 길이(글자 수)
- 대소문자 사용
- 숫자 사용
- 특수 기호 사용
여기에 나열된 모든 요소 중에서 비밀번호 길이가 가장 중요합니다. 충분히 긴 패스프레이즈는 거의 모든 무차별 대입 공격을 무력화할 수 있습니다. 그리고 임의의 대문자, 특수 기호, 숫자를 사용해 엔트로피를 더욱 높일 수 있습니다.
그러나 엔트로피는 단순히 귀하의 비밀번호가 얼마나 길거나 복잡해 보이는지에 관한 것만이 아닙니다. 비밀번호가 어떻게 생성되었는지에 따라서도 달라질 수 있습니다. 두 비밀번호의 길이가 같더라도, 진정으로 무작위인 문자열은 일반적인 단어나 문구보다 훨씬 더 높은 엔트로피를 갖습니다.
비밀번호에 알아볼 수 있는 단어나 일반적인 문구를 사용하면, 해커는 사전 공격(dictionary attacks)을 사용해 귀하의 자격 증명을 추측할 수 있습니다.
사전 공격자는 비밀번호 내에 사용될 수 있는 사전의 모든 단어에 대한 무차별 대입 추측을 자동화합니다.
따라서 귀하의 비밀번호 엔트로피에 관계없이, 로그인 세부사항에 반려동물 이름, 스포츠 팀 이름 또는 기타 일반적인 비밀번호(예를 들어, “password”는 절대 사용하지 마십시오)를 사용하면 여전히 해킹의 위험이 있습니다.
비밀번호 엔트로피를 계산하는 방법
비밀번호 엔트로피를 계산하는 방법을 설명하지만, 이것이 단순한 예시일 뿐이라는 점을 유념해야 합니다. 비밀번호의 겉모습만으로는 비밀번호의 엔트로피를 안전하게 추정할 수 없습니다. 사람이 생성한 비밀번호는 긴 비밀번호라 하더라도 높은 확률로 쉽게 예측할 수 있습니다. 무작위 생성기로 생성된 것이 아니라면, 엔트로피가 생각보다 낮다고 가정해야 합니다.
무작위 문자열을 사용한다고 가정할 때, 비밀번호 엔트로피는 비트 단위로 측정되며 두 가지 주요 요인에 따라 달라집니다:
- 비밀번호를 위해 선택된 문자 범위에서 사용 가능한 문자 수
- 비밀번호의 글자 수
따라서 비밀번호가 길고 사용할 수 있는 문자 범위가 넓을수록 비밀번호 엔트로피가 증가합니다. 대문자, 소문자, 기호, 숫자를 사용하는 긴 비밀번호(예: kmXz2=zs[m%7?y4A)는 매우 높은 엔트로피를 갖습니다.
dzormybs 또는 119022833과 같이 소문자나 숫자만 사용하는 비밀번호는 엔트로피가 매우 낮습니다.
패스프레이즈는 기억하기 더 쉽지만 주의해야 합니다. 비슷한 수준의 엔트로피를 생성하려면 더 길어야 합니다. 예를 들어, HelpFidoSaveChocolate33!과 같은 패스프레이즈는 복잡해 보이지만 네 개의 일반적인 영어 단어와 마지막에 예측 가능한 숫자-기호 조합을 사용하기 때문에 실제 엔트로피는 50비트에 가까울 수 있습니다. 이는 8글자나 더 짧은 kmXz2=zs[m%7?y4A의 엔트로피보다 훨씬 적습니다.
엔트로피 비트란 무엇인가요?
엔트로피 비트는 비밀번호를 푸는 것이 얼마나 어려운지 측정합니다. 예를 들어, 이미 귀하가 알고 있는 비밀번호는 0비트입니다.
공식을 사용하면 비밀번호에 포함된 엔트로피 비트 수를 계산할 수 있으며, 이를 통해 공격자의 스크립트나 머신이 접근 권한을 얻기 위해 몇 번을 추측해야 하는지 계산할 수 있습니다.
하지만 비밀번호 엔트로피를 계산하기 전에, 가능한 모든 다양한 문자 범위를 측정해야 합니다.
문자 범위 측정
다음 표는 영어로 작성할 때 비밀번호에 다른 문자를 추가할 때 문자 옵션이 어떻게 증가하는지 보여줍니다. 문자와 기호의 수는 사용하는 언어에 따라 다를 수 있습니다.
| 문자 유형 | 예시 | 범위 크기 |
| 숫자 | 0, 1, 2, 3 | 10 |
| 라틴 문자 (소문자) | a, b, c, d | 26 |
| 라틴 문자 (대문자) | A, B, C, D | 26 |
| 특수 기호 | !, @, %, $ | 32 |
잠재적인 해커에게 제공하는 비밀번호 후보 문자 조합의 선택지가 많을수록 비밀번호 엔트로피가 높아집니다. 따라서 가능한 한 넓은 범위의 문자를 우선시하고 네 가지 유형 모두를 혼합하여 사용하세요.
다음은 몇 가지 비밀번호 예시와 총 문자 범위입니다.
| 예시 | 총 문자 범위 |
| 112233 | 10 |
| abcde | 26 |
| a1b2c3d4 | 36 |
| a1B2c3D4 | 62 |
| a1!B2%c3^D4 | 94 |
위 데이터는 엔트로피 비트가 아닌 문자 범위의 잠재적 크기를 보여준다는 점을 기억하세요. 비밀번호의 정확한 엔트로피를 비트 단위로 계산하려면 특정 공식을 사용해야 합니다.
비밀번호 엔트로피 공식
다음 공식을 사용하여 비밀번호의 엔트로피를 비트 단위로 측정할 수 있습니다.
E = L × log2(R)
이 공식에서 각 기호의 의미는 다음과 같습니다.
- E 는 귀하의 비밀번호 엔트로피입니다
- R 은 비밀번호에 포함될 수 있는 문자 유형의 가능한 범위(위 표 참조)입니다
- L 은 비밀번호의 문자 수(길이)입니다
- Log2 는 “이 수와 같아지기 위해 2를 몇 제곱해야 하는가”라는 질문에 대한 답입니다
이 공식을 사용하여 몇 가지 비밀번호 예시를 비트 단위로 측정하면 다음과 같습니다.
| 예시 | 문자 범위 | 비밀번호 길이 | 계산 | 엔트로피 비트 |
| fygwcbjnhsbh | 26 | 12자 | E = 12 x 4.7 | 56.4 |
| HzgNhHkY1WQ8AM | 62 | 14자 | E = 14 x 5.95 | 83.3 |
| kmXz2=zs[m%7?y4A | 94 | 16자 | E = 16 x 6.55 | 104.8 |
이 수학적 계산은 비밀번호가 길고 복잡할수록 엔트로피 비트가 더 높아진다는 것을 보여줍니다.
이 계산은 무작위로 생성된 비밀번호에만 적용된다는 점을 기억하세요. 흔히 쓰이는 단어를 사용하는 패스프레이즈는 유사한 수준의 보안을 제공하기 위해 더 길어야 하며, 흔치 않고 서로 관련이 없는 단어(이상적으로는 숫자와 기호)를 사용해야 합니다.
또한 이러한 계산은 실제 사용보다는 데모 목적에 가깝습니다. 비밀번호가 얼마나 강력한지 직접 계산하려고 하기보다는 비밀번호 생성기를 이용하시는 것이 좋습니다.
저희의 무료 비밀번호 생성기를 사용하여 다양한 비밀번호가 얼마나 강력한지 직접 테스트하고 확인해 볼 수 있습니다.
다시 말씀드리지만, 엔트로피는 보안 강도를 측정하는 하나의 기준일 뿐입니다. 사전 대입 공격을 피하려면 흔히 사용되는 비밀번호나 문구를 피하세요. 또한 공격자가 정보를 획득할 수 있으므로 생년월일, 반려동물 이름, 도로명 주소와 같은 개인 정보를 비밀번호로 사용하지 않아야 합니다.
어떤 비밀번호가 강력한 비밀번호로 간주되나요?
일반적으로 강력하거나 높은 엔트로피를 가진 비밀번호는 최소 75비트의 점수를 얻습니다. 72비트 미만인 비밀번호는 기계가 비교적 쉽게 알아낼 수 있습니다.
최대 잠재 추측 횟수는 2 ^ (비트 수) 계산식을 사용하여 계산합니다. 이는 총 비트 수에 도달할 때까지 숫자 2가 거듭제곱되는 횟수입니다.
예를 들어 엔트로피가 10비트인 비밀번호의 경우 2 ^ 10을 사용하여 알아내려면 최대 1,024번의 추측이 필요합니다. 이는 일반적으로 456과 같이 숫자로 이루어진 세 자리 비밀번호입니다.
가능한 한 높은 수준을 목표로 하여 강력한 비밀번호를 생성하려면 100비트 이상의 엔트로피를 목표로 하세요. 엔트로피가 높을수록 기계가 올바른 비밀번호를 무차별 대입 공격(brute force)으로 알아내는 데 더 많은 시간이 걸립니다.
높은 엔트로피를 가진 비밀번호를 생성하는 규칙은 어떤 보안 전문가에게 문의하느냐에 따라 크게 다를 수 있지만, 모두가 동의하는 몇 가지 일반적인 규칙이 있습니다.
- 비밀번호는 최소 14자 이상이어야 하며 다양한 문자를 혼합하여 사용해야 합니다(기본 라틴 알파벳의 소문자만 사용해서는 안 됨)
- 귀하에게 의미가 있어 쉽게 유추할 수 있는 문구나 용어를 사용하지 않는 것이 좋습니다
- 강력한 비밀번호는 사용자 이름과 연결되지 않습니다(항상 두 가지를 별개의 개체로 취급하세요)
- 최소 소문자 1개, 대문자 1개, 숫자 1개, 특수 문자 1개(예: %, ^, *, &, @, ~, 등)가 혼합되어 있어야 합니다
또한 웹에서 대중적으로 사용되는 단어나 문구를 피할 수 있도록 비밀번호 차단 목록을 사용하는 것을 권장합니다. 예를 들어, NIST의 Bad Passwords 프로젝트(새 창)는 높은 엔트로피를 가진 문구를 생성하는 데 널리 사용되는 오픈 소스 도구입니다.
비밀번호 관리자를 위한 안전한 관리자 비밀번호를 만들고자 한다면 다음 지침을 고려해 보시기 바랍니다.
요약하자면, 진정으로 안전한 비밀번호에는 예를 들어 다음과 같은 요소가 포함됩니다.
- 최소 한 개의 대문자
- 최소 한 개의 소문자
- 최소 한 개의 특수 기호
- 최소 한 개의 숫자
- 최소 14자 (또는 단어가 흔하지 않고 연관성이 없다고 가정할 때 패스프레이즈의 경우 최소 30자)
위의 예시인 kmXz2=zs[m%7?y4A는 이러한 요구 사항을 모두 충족하며 약 105비트의 엔트로피를 가진 비밀번호를 생성하므로 무차별 대입 공격(브루트 포스)으로 알아내는 데 상상할 수 없을 정도로 오랜 시간이 걸립니다.
Proton Pass로 강력한 비밀번호를 생성하세요
귀하의 모든 온라인 계정에 사용할 수 있을 만큼 강력한 비밀번호를 생성하고 기억하는 유일한 방법은 비밀번호 관리자를 사용하는 것입니다. Proton Pass는 클릭 한 번으로 안전한 문구를 생성해 줍니다. 10개 단어로 이루어진 패스프레이즈 또는 64자의 무작위 비밀번호를 만드는 데 사용할 수 있으며, 비밀번호의 엔트로피를 최대화하려는 경우 각 비밀번호에 숫자, 대문자, 특수 문자를 사용할지 여부를 제어할 수 있습니다.
Proton Pass를 사용하면 비밀번호를 해킹하기 어려울 뿐만 아니라, 세계에서 가장 안전한 무료 비밀번호 관리자를 통해 종단 간 암호화 기술로 저장되고 안전한 2단계 인증으로 백업됩니다. 자세한 내용은 Proton Pass 보안 모델을 읽어보세요.
비밀번호 엔트로피가 머리를 아프게 한다면, Proton Pass에 등록하고 가입하세요. 악의적인 공격을 견뎌낼 수 있도록 비밀번호를 생성, 저장, 보호할 수 있도록 도와드립니다.
업데이트 2025년 11월 18일: 이 기사는 패스프레이즈 및 일반적인 비밀번호의 엔트로피를 계산하려고 할 때 발생하는 문제를 보다 명확하게 설명하기 위해 업데이트되었습니다. 비밀번호의 복잡성은 정말 무작위로 생성되지 않는 한 과대평가하기 쉽습니다.
FAQ
비밀번호의 복잡성은 일반적으로 가능한 문자 범위를 나타내며, 비밀번호 엔트로피는 비밀번호를 유추하기 얼마나 어려운지에 대한 수학적 원리를 나타냅니다. 엔트로피는 비트 단위로 측정되며, 이는 결과적으로 비밀번호를 풀기 위해 얼마나 많은 무차별 대입 유추가 필요한지 알려줍니다.
단어가 어떻게 선택되었는지에 따라 다릅니다. 무작위로 선택된 경우(예: 다이스웨어 목록 사용) 각 단어는 약 12–13비트의 엔트로피를 추가합니다. 따라서 네 단어로 된 무작위 패스프레이즈는 약 50–52비트의 엔트로피를 갖게 됩니다. 하지만 사람이 단어를 선택한 경우 엔트로피는 이보다 훨씬 낮을 수 있습니다.
128비트 엔트로피는 비밀번호를 무차별 대입 공격으로 풀기 위해 2¹²⁸번의 유추가 필요하다는 것을 의미하며, 이는 우주의 원자 수보다 많은 수치입니다. 실제적인 목적에서 100비트 이상의 모든 비밀번호는 안전합니다. 75–80비트의 비밀번호조차도 현재 알려진 모든 무차별 대입 공격을 방어할 수 있는 것으로 간주됩니다.






