비밀번호 선택 진화와 보안 정책 분석

초록

본 논문은 MySpace, phpBB, RockYou, Xato 등 네 개의 공개된 비밀번호 데이터셋을 시간 순으로 비교하여 사용자의 비밀번호 선택 행태가 어떻게 변화했는지를 정량적으로 분석한다. Levenshtein 거리 기반 유사도와 고차원 특징 인코딩을 활용한 k‑means 군집화를 통해 최신 데이터일수록 ‘나쁜 비밀번호’와의 유사도가 낮아지고, 길이·문자 종류 혼합 등 보안 정책 준수가 향상된 반면, 개인 이름 포함·선택 편향 등 위험 요소는 여전히 존재함을 밝혀낸다.

상세 분석

논문은 먼저 비밀번호 보안 정책을 표 1에 정리하고, 사용자가 실제로 이를 얼마나 따르는지를 측정하기 위한 두 가지 정량적 방법을 제시한다. 첫 번째는 ‘나쁜 비밀번호’ 집합(공통적으로 취약한 패턴을 포함)과 각 데이터셋의 비밀번호 간 Levenshtein 거리를 정규화한 유사도 점수를 계산하는 것이다. 이때 거리값을 0~1 사이로 정규화함으로써 서로 다른 길이의 비밀번호 간 비교가 가능하도록 설계하였다. 결과는 2006년 MySpace 데이터가 평균 유사도 0.42, 2009년 phpBB가 0.38, 2012년 RockYou가 0.31, 2015년 Xato가 0.27으로, 시간 경과에 따라 평균 유사도가 지속적으로 감소함을 보여준다. 이는 사용자가 점차 ‘나쁜 비밀번호’ 패턴을 회피하고 있음을 의미한다. 통계적 유의성을 검증하기 위해 두 표본 t‑검정을 수행했으며, 모든 인접 데이터셋 간 차이가 95% 신뢰구간에서 유의함을 확인하였다.

두 번째 분석은 비밀번호를 보안 정책 기반 특징 벡터(길이, 대소문자 혼합, 숫자 포함, 특수문자 포함, 사전 단어 포함 여부, 개인 정보 포함 여부 등)로 인코딩하고, 이를 20차원 이상의 고차원 공간에 매핑한 뒤 k‑means 군집화와 실루엣 계수를 이용해 군집 구조를 탐색한 것이다. 최적 군집 수(k)는 실루엣 평균이 최대가 되는 값을 선택했으며, 최신 데이터일수록 군집 간 거리가 멀어지고 실루엣 값이 상승했다. 구체적으로 Xato 데이터는 실루엣 0.42, RockYou는 0.35, phpBB는 0.28, MySpace는 0.21을 기록했다. 이는 비밀번호가 보다 다양하고 구분 가능한 패턴을 보이며, 정책 준수 요소(예: 대소문자·숫자·특수문자 혼합)가 강화되고 있음을 시사한다.

하지만 세부 특징 분석에서 여전히 문제점이 드러난다. 모든 데이터셋에서 ‘이름 포함’ 비율은 812% 수준으로 감소했지만 여전히 존재했고, 특정 문자(예: “123”, “password”, “qwerty”)의 빈도는 최신 데이터에서도 눈에 띄게 남아 있었다. 또한 비밀번호 길이는 평균 89자에서 10~12자로 늘었지만, 여전히 8자 이하 비밀번호가 15% 이상 차지했다. 이러한 결과는 정책은 점진적으로 적용되고 있으나, 사용자 습관과 인지적 편향(예: 흔히 쓰는 패턴 재사용) 때문에 완전한 개선이 이루어지지 않았음을 보여준다.

마지막으로 논문은 기존 연구와 비교해 두드러진 차별점을 강조한다. 기존 연구는 주로 비밀번호 강도 추정이나 사전 기반 공격 효율을 평가했지만, 본 연구는 시간 흐름에 따른 전체 분포 변화를 Levenshtein 거리와 군집 분석이라는 두 축으로 동시에 측정함으로써 정책 효과와 사용자 행동 변화를 종합적으로 파악했다. 또한 대규모 공개 데이터셋(총 1억 5천만 개 이상) 활용으로 통계적 신뢰성을 확보했으며, 정책 입안자와 보안 엔지니어에게 실증적 근거를 제공한다.