글로벌 사이버 보안 기업 카스퍼스키가 최근 2023년부터 2025년까지 발생한 주요 비밀번호 유출 사건을 분석한 결과, 대다수의 비밀번호가 보안 수칙을 위반하고 있으며 오랜 기간 변경되지 않은 채 재사용되고 있는 것으로 나타났다. 조사 결과에 따르면 유출된 비밀번호의 54%는 이미 과거 데이터 유출 사고에 포함되었던 것으로 확인됐다.
이는 사용자들이 보안성이 낮은 비밀번호를 수년간 반복적으로 사용하고 있음을 시사한다. 특히 비밀번호의 평균 사용 기간은 약 3.5년에서 4년에 달했다.
사용자들은 비밀번호 생성 시 숫자, 날짜, 개인 식별 정보 등 예측 가능한 요소를 포함하는 경향이 강했다. 가장 빈번하게 사용된 비밀번호 조합은 ‘12345’였으며, 특정 연도나 ‘love’와 같은 단어, 사용자 이름 등이 비밀번호 구성 요소로 자주 활용되어 무차별 대입 공격에 취약한 상태였다.
이러한 비밀번호 기반 인증의 한계를 극복하기 위해 카스퍼스키는 자사의 ‘카스퍼스키 패스워드 매니저(Kaspersky Password Manager)’에 패스키(Passkey) 기술을 도입했다. 패스키는 암호화 키와 생체 인증을 결합한 차세대 로그인 방식으로, 피싱이나 데이터 유출 위협으로부터 계정을 안전하게 보호한다.
사용자는 이를 통해 여러 기기 간 안전한 동기화를 유지하며 간편하게 로그인할 수 있다. 카스퍼스키 이효은 한국지사장은 “디지털 환경이 고도화된 한국에서도 여전히 취약하거나 재사용된 비밀번호에 의존하는 경우가 많다”며 “패스키와 같은 안전한 인증 방식으로의 전환이 필수적”이라고 강조했다.