비밀번호 엔트로피 설명 — 그리고 당신의 "복잡한" 비밀번호가 암호구문보다 약한 이유
엔트로피는 비밀번호 강도의 유일한 정직한 측정 방식입니다. 여기서는 엔트로피가 어떻게 계산되는지, 공격자가 다양한 수준을 깨는 데 필요한 시간, 그리고 왜 4개의 무작위 단어가 12글자 "P@ssw0rd!"를 이기는지 알아봅니다.
"비밀번호를 복잡하게 만들어라"는 무용지물인 조언입니다. 마치 기호와 숫자를 추가하는 것이 비밀번호를 안전하게 만드는 것처럼 말하지만, 그렇지 않습니다. 비밀번호 강도의 유일한 정직한 측정 방식은 엔트로피이며, 대부분의 "복잡한" 비밀번호는 생각하는 것보다 훨씬 낮은 점수를 받습니다.
엔트로피가 실제로 측정하는 것
엔트로피는 비밀번호에 포함된 무작위성의 비트 수입니다. 즉, 공격자가 무차별 대입 공격으로 비밀번호를 깨기 위해 평균적으로 필요한 추측 횟수입니다. 계산 방식은 길이 × log₂(문자 풀 크기)입니다.
예시: 소문자만 사용하는 10글자 비밀번호(문자 풀 = 26)는 10 × log₂(26) ≈ 47비트의 엔트로피를 가집니다. 소문자, 대문자, 숫자, 기호를 모두 사용하는 10글자 비밀번호(문자 풀 = 88)는 10 × log₂(88) ≈ 64.6비트를 가집니다. 같은 길이이지만 더 큰 문자 풀이 각 글자를 더 열심히 일하게 만듭니다.
"안전한" 비트는 몇 개인가?
현대의 대략적인 기준(데이터베이스 유출로부터 생존하는 제대로 해시된 비밀번호를 가정 — 사이트가 bcrypt 또는 argon2를 사용해야 함):
- 40비트 미만: 단일 GPU로 몇 분 내에 깨질 수 있습니다.
- 40–60비트: GPU 팜을 갖춘 진지한 공격자가 몇 시간에서 몇 주에 걸쳐 깨질 수 있습니다.
- 60–80비트: 현재의 오프라인 무차별 대입 공격으로부터 안전합니다. 개인 계정에 좋은 목표입니다.
- 80–100비트: 현재 하드웨어의 수명 동안 국가 수준의 적을 포함한 모든 현재 공격자에 저항합니다.
- 100+ 비트: 현실적인 위협 모델에서는 과도합니다.
금전, 신원 또는 인프라를 보호하는 모든 것에는 80비트를 목표로 합니다. 비밀번호 관리자의 마스터 비밀번호에는 100+ 비트를 목표로 합니다.
"복잡한" 비밀번호의 함정
"복잡한" 비밀번호를 만들도록 요청받은 사용자들은 예측 가능한 패턴을 선택합니다: 첫 글자를 대문자로, 끝에 숫자 추가, a를 @로 바꾸기. Password1!은 10글자이고 인간의 눈에는 복잡해 보입니다. 해킹하는 입장에서는 한 번의 추측입니다 — 모든 유출된 비밀번호 사전에 나타납니다.
사용자가 선택한 비밀번호의 실제 엔트로피는 문자 풀 크기가 시사하는 것보다 훨씬 낮습니다. 인간이 무작위성을 발휘하는 데 능숙하지 않기 때문입니다. 연구에 따르면 주장되는 복잡성에 관계없이 약 20–30비트입니다.
암호구문이 이기는 이유
암호구문은 4–7개의 무작위 단어를 하이픈으로 연결한 것입니다: garden-river-pencil-strong-sunset-bridge. 512단어 목록에서 6개의 무작위 단어는 6 × log₂(512) = 54비트의 엔트로피를 가집니다 — 대부분의 사람들이 "복잡한" 비밀번호로 달성하는 것보다 많으며, 훨씬 더 기억하기 쉽습니다.
7개 단어로 확장하면 63비트를 넘깁니다. 7776단어 목록(Diceware)에서 8개 단어는 103비트를 제공합니다. 모두 입력하기 쉽고, 기억하기 쉽고, 대부분의 사전 공격에 면역(각 단어는 일반적이지만 조합이 무작위이기 때문)입니다.
발음 가능한 비밀번호: 중간 선택지
비밀번호를 전화로 말해야 하는 시나리오에서는 발음 가능한 비밀번호가 자음과 모음을 번갈아 사용합니다: baketomiloguno. 각 음절(자음 + 모음)은 log₂(21 × 5) ≈ 6.7비트의 엔트로피를 가지므로 6개 음절은 약 40비트를 제공합니다.
암호구문보다는 약하지만 일반적인 사용자 선택 비밀번호보다는 강하며, 중요하게는 "O인지 0인지?"라고 물어볼 필요 없이 음성으로 읽기가 훨씬 더 쉽습니다.
안전한 비밀번호 생성
인간의 무작위성에 의존하지 마세요. 도구를 사용하세요. aukimi 비밀번호 생성기는 무작위, 암호구문, 발음 가능 등 3가지 모드를 제공하며 실시간 엔트로피 미터로 정확히 얼마나 강한 출력인지 확인할 수 있습니다. crypto.getRandomValues(브라우저의 암호화 안전 무작위 소스)를 사용하고 모듈로 편향을 제거하기 위해 거부 샘플링을 적용합니다.
중요: 생성은 전적으로 브라우저에서 발생합니다. 아무것도 전송, 로깅, 저장되지 않습니다. 생성하는 동안 devtools 네트워크 탭을 열면 페이지에서 떠나는 요청이 0개임을 볼 수 있습니다.
한 가지 규칙
비밀번호 관리자를 사용하세요. 모든 사이트에 대해 긴 무작위 비밀번호를 생성합니다(비밀번호 관리자가 절대 잊어버리지 않으므로 길이는 사용성에 영향을 주지 않습니다). 비밀번호 관리자의 마스터 비밀번호로 암호구문을 사용합니다 — 이것이 당신이 기억해야 할 유일한 것입니다.
나머지는 모두 최적화입니다. 이 한 가지 패턴을 제대로 적용하면 95%의 사용자보다 앞서갑니다.
이 글이 도움이 되셨나요?
관련 기사
창작 스택이 무너졌다: 2026년 4월 말 한 주간의 AI 도구들
2026년 4월 27일부터 5월 4일 사이, Adobe, Luma, Novi, fal, Figma, Canva, HeyGen, Anthropic이 모두 8일 만에 같은 임계점을 넘었다. 여기 무엇이 출시되었는지, 그것이 무엇을 의미하는지, 그리고 이 모든 것을 통합하려고 애쓰는 브라우저 기반 창작 도구들이 어디에 서 있는지를 정리했다.
2026년 AI 음악과 SFX: 인디 게임 오디오에서 실제로 작동하는 것
3년 전 인디 게임 오디오는 로열티 프리 라이브러리 라이선싱(저렴하지만 평범하고 모든 게임이 똑같이 들림) 또는 작곡가 고용(훌륭하지만 비쌈) 둘 중 하나였다. 2026년에는 AI가 배포 가능한 스코어를 생성한다. 어떤 도구가 실제로 작동하는지, 그리고 인간 작곡가가 여전히 필요한 곳은 어디인지 살펴본다.
2026년 AI 메시 생성: 게임 파이프라인에서 실제로 출시되는 것
Image-to-3D는 18개월 만에 "으스스한 데모"에서 "인디 프로젝트에 출시"로 진화했다. Tripo, Meshy, Rodin, Hyper3D가 실제 프로덕션에서 하는 일 — 그리고 3D 아티스트가 항상 모델을 이기는 부분을 살펴본다.