글: 프레이저 샘슨 교수(전 영국 생체인식·감시카메라 위원회 위원장)

 

작성자: Fraser Sampson

보도일자: 2025년 12월 26일

출처: Biometricupdate.com

 

다시 한 해를 돌아보는 시즌이 왔다. ‘세계에서 가장 감시가 많은 도시들’ 같은 오래된 단골 리스트를 꺼내 보고, ‘올해의 최고의 법’처럼 계절성 신참 목록도 함께 살펴볼 시간이다(내 표는 로봇 치킨 싸움에 간다).

 

연말 결산 리스트를 만드는 일은 이제 문화권을 초월한 하나의 연례 의식이 되었다. 사실 관계가 다소 의심스럽거나 산술적으로 허술하더라도, 이런 대체로 무의미한 표들의 핵심은 ‘바뀐다’는 데 있다. 재미는 그 변화가 드러나는 데 있다. 하지만 매년 빠짐없이 등장하는 순위표가 하나 있다. 그리고 이 리스트는 매년 똑같다. 사실 수십 년 동안 거의 변하지 않았다. 다시 한 번 그 결과가 나왔다. 2,150만 회 이상 사용된, 2025년 세계에서 가장 많이 쓰인 보안 비밀번호는(두구두구): “123456”이었다. 2위는 역시나 “admin”으로, 지난해에만 2,100만 개가 넘는 계정에서 사용된 것으로 보고됐다.

 

이는 그야말로 경악할 만한 일이다. 단지 비밀번호가 너무 쉽게 추측 가능해서만은 아니다. 가장 믿기 힘든 점은 이 목록 자체가 아니라, 이 목록이 전혀 바뀌지 않는다는 사실이다. 매년 수십억 달러가 기술에 투자되고, 약한 비밀번호를 쓰지 말라는 – 혹은 아예 비밀번호를 쓰지 말라는 – 수많은 기사와 조언이 쏟아지는데도, 해마다 같은 ‘우승자’가 반복되고 있다.

 

보안 시스템의 비밀번호가 ‘Password’였다는 점이 한몫한 루브르 박물관의 대담한 절도 사건으로 한 해가 마무리된 지금, 노드패스(NordPass)의 연례 설문 결과가 많은 이들에게 놀랍지 않은 것도 무리는 아니다.

 

Biometric Update 구독자들은 디지털 보안에 대한 최신 위협과 이를 막기 위해 개발되고 있는 최첨단 기술을 접한다. 우리는 사이버·피싱 공격의 물결을 막기 위해 대응책을 설계·개발·배포하고 있는 사이버 천재 사상가들과 생체인증 기술의 대가들로부터 매일같이 소식을 듣는다. 갈수록 교묘해지는 사기 수법, 적대 국가의 침투, 그리고 일반 대중을 경악하게 만드는 수많은 공통 취약점 및 노출(CVE)에 맞서, 전문가들은 연중 내내 지적·기술적 역량을 총동원해 우리를 보호하고 있다.

 

그럼에도 불구하고 2025년 ‘가장 많이 사용된 비밀번호’ 목록은 가장 서툰 해커들에게조차 반가운 소식만을 안겨준다. 노드패스 통계는, 악의적인 ‘사전 공격’을 돌리는 화면 앞에 웅크린 할리우드식 악당 천재의 모습이 실제 최대 위협과는 거리가 멀다는 점, 그리고 1세대 노트북을 가진 10대조차도 디지털 잭팟을 터뜨릴 확률이 절반을 넘는다는 이유를 분명히 보여준다. “Demo@123”과 같은 문자 기반 비밀번호가 인도, 미국, 독일, 호주 등 전 세계에서 여전히 연간 순위 상단을 차지하고 있는 현실에서, 예비 사이버 범죄자들은 염(salt) 처리 프로토콜을 분석하는 ‘존 더 리퍼(John the Ripper)’ 같은 고급 기술을 쓸 필요조차 없다. 게다가 여러 기기와 계정에 동일한 비밀번호를 계속 사용하고 있는 우리의 습관은, 그들의 일을 한층 더 쉽게 만들어 주고 있다.

 

다가오는 한 해 동안 취약해질 수많은 개인 계정들과 해킹·피싱이 초래할 참담한 피해와 고통을 넘어, 우리의 부주의는 더 광범위한 물리적 취약성까지 열어젖힌다. 인터넷 프로토콜(IP) 카메라와 같은 기기에서는, 비밀번호 하나만으로도 해커의 특별한 자격이나 기술 지식 없이 거리, 사무실, 가정용 보안 시스템에 원격 접근이 가능해질 수 있다.

 

이 목록은 단지 개인 기술 소비자에게만 해당되는 문제가 아니다. 우리에게 안전 수칙을 안내하는 정부 관계자들 역시 같은 역설적인 행동 패턴에 빠져 있다. 연구에 따르면 공공 기관과 조직들 또한 우리와 다르지 않게 기본적인 비밀번호 실수를 반복하고 있다. 또 다른 최근 보고서의 결과에 따르면, 지난해 초 이후 미국 정부 이메일 도메인과 연관된 비밀번호 5만 3,000개 이상이 공개된 출처에서 노출된 것으로 나타났다. 미국, 영국, 프랑스, 이탈리아, 독일, 캐나다 등 6개국의 5,500곳이 넘는 공공 부문 기관을 대상으로 조사한 결과, 2024년 초 이후 ‘노출된 비밀번호’가 9만 1,000개 이상 확인됐다.

 

매년 우리가 접하는 모든 조언은 한결같이 보안 자격 증명을 지속적으로 모니터링하고, 기관 도메인에서 데이터 유출 여부를 정기적으로 점검하며, 모든 시스템에서 고유한 비밀번호 사용을 엄격히 강제해야 한다고 말한다. 그러나 매년 우리는 그와 정반대의 행동을 반복한다. 왜 이런 일이 벌어지는지는 무의미한 집착에 관한 심리학자들의 이론으로는 흥미로운 주제일지 모르지만, 데이터 보안에 관여하는 이들에게는 그다지 중요하지 않다. 통계가 모든 것을 말해주고 있기 때문이다.

 

올해 역시 데이터 침해의 약 80%는 유출되었거나, 취약하거나, 재사용된 비밀번호 때문이었다. 어쩌면 내년에는 노드패스가 카롤리스 아르바시아우스카스(Karolis Arbaciauskas)가 말하는 ‘비밀번호 위생(password hygiene)’을 가장 크게 개선한 국가에 연례 상을 수여해도 좋을 것이다. 우리 모두의 2026년 새해 결심으로는, 애플의 iCloud 키체인이나 안드로이드의 구글 비밀번호 관리자처럼 쉽게 이용할 수 있는 비밀번호 관리자를 활용해 복잡한 비밀번호를 생성·저장하는 것이 될 수 있다. 더 나아가서는 비밀번호 자체를 아예 버리고, 이메일과 온라인 계정에 이중 인증(2FA)을 도입해 보안을 ‘겹겹이’ 쌓거나, 유출·도난·우회가 불가능한 또 다른 대안인 패스키(passkeys)를 채택하는 것이 바람직하다.

 

사이버 보안 전문가들은 다가오는 최대의 암호화 위협으로 포스트-양자 컴퓨팅(PQC)을 꼽는다. 그러나 현실에서 가장 큰 위협은 우리의 의례화된 행동 그 자체다. 여기에는 음울한 한겨울의 메시지가 담겨 있다. 우리가 일상의 습관을 바꾸지 않는다면, 사이버 보호 기술이 아무리 발전해도 매년 반복되는 ‘사이버 파멸의 악순환’에서 벗어나지 못할 것이다.

 

2025년이 저물어 가는 지금, 업계는 다가올 한 해를 준비하고 있다. 나로서는 ‘내년에 사라질 20가지’ 목록을 정리하고 있는데, 열쇠와 지갑, 프라이버시와 함께 비밀번호도 포함시키고 싶지만, 그건 다소 낙관적인 바람일 것 같다.

 

우리는 AI 지배의 과도함을 억제하기 위해 ‘인간이 개입하는 장치(human in the loop)’가 필요하다고 의분에 차서 주장한다. 그러나 이런 수준의 어리석음이 과연 어떤 안전장치가 될 수 있을까? 올해 로봇을 웃게 만들고 싶다면, 당신의 비밀번호를 들려주면 된다.

 

저자 소개

프레이저 샘슨(Fraser Sampson)은 전 영국 생체인식·감시카메라 위원회 위원장으로, 현재 CENTRIC(테러리즘·회복탄력성·정보·조직범죄 연구 우수센터)에서 거버넌스 및 국가안보 교수로 재직 중이며, Facewatch의 사외이사이기도 하다.