내 비밀번호가 유출됐는지 확인하는 방법
데이터 유출로 비밀번호가 노출됐는지 확인하는 방법을 안내합니다. Have I Been Pwned, Google 비밀번호 체크업 사용법과 유출 시 대처 방법을 단계별로 설명합니다.
내 비밀번호가 유출됐는지 확인하는 방법
데이터 유출 사고는 끊임없이 발생합니다. 대기업, 소규모 앱, 온라인 서비스가 해킹당하면 수백만 건의 이메일과 비밀번호가 다크웹에 돌아다닙니다. 불편한 진실은, 당신의 계정 정보도 이미 유출됐을 수 있다는 것입니다.
이 글에서는 비밀번호 유출 여부를 확인하는 방법, 신뢰할 수 있는 도구, 그리고 유출이 확인됐을 때 해야 할 일을 단계별로 안내합니다.
왜 비밀번호 유출을 확인해야 하는가
기업이 데이터 유출을 겪으면, 도난된 데이터에는 보통 이메일 주소와 해시된(또는 평문) 비밀번호가 포함됩니다. 공격자들은 이 데이터를 다음과 같이 활용합니다:
- 크리덴셜 스터핑 — 유출된 이메일/비밀번호 조합을 수백 개의 다른 사이트에 시도
- 표적 공격 — 유출된 정보를 활용해 피싱 이메일 제작
- 계정 탈취 — 이메일, 은행, SNS 계정에 직접 접근
여러 서비스에서 같은 비밀번호를 사용하고 있다면, 한 건의 유출이 훨씬 큰 문제로 번질 수 있습니다.
도구 1: Have I Been Pwned (HIBP)
Have I Been Pwned는 보안 연구원 Troy Hunt가 만든 가장 널리 신뢰받는 유출 확인 서비스입니다. 알려진 유출 데이터를 수집하여 이메일 주소로 검색할 수 있습니다.
사용 방법
- haveibeenpwned.com에 접속
- 이메일 주소 입력
- "pwned?" 버튼 클릭
- 이메일이 포함된 유출 목록 확인
결과 해석
- 초록색 ("No pwnage found") — 알려진 유출 데이터베이스에서 이메일이 발견되지 않음
- 빨간색 ("Oh no — pwned!") — 하나 이상의 유출에 이메일이 포함됨. 어떤 서비스에서 유출됐고 어떤 데이터(이메일, 비밀번호 해시, IP 주소 등)가 노출됐는지 표시
비밀번호 직접 확인
HIBP에는 Pwned Passwords 기능도 있어서 특정 비밀번호가 유출 이력에 있는지 확인할 수 있습니다. k-anonymity라는 기술을 사용해 해시의 일부만 서버로 전송하므로, 전체 비밀번호가 외부로 나가지 않습니다.
도구 2: Google 비밀번호 체크업
Chrome을 사용하거나 Google 계정이 있다면, Google의 비밀번호 체크업이 이미 연동되어 있습니다.
사용 방법
- passwords.google.com 접속
- Google 계정으로 로그인
- "비밀번호 체크업으로 이동" 클릭
- "비밀번호 확인" 클릭
Google이 저장된 모든 비밀번호를 스캔해서 다음 항목을 표시합니다:
- 알려진 데이터 유출에 포함된 비밀번호
- 여러 사이트에서 재사용 중인 비밀번호
- 취약하다고 판단되는 비밀번호
장점
- Chrome에 저장된 비밀번호를 자동으로 확인
- 유출된 비밀번호를 변경할 수 있는 직접 링크 제공
- Chrome 사용 시 백그라운드에서 지속적으로 확인
도구 3: 브라우저 및 OS 내장 기능
Apple (Safari / iCloud 키체인)
- iPhone/iPad: 설정 > 비밀번호, Mac: 시스템 설정 > 비밀번호
- 유출된 비밀번호에 경고 아이콘이 표시됨
- Apple이 자동으로 알려진 유출 데이터베이스와 비교
Firefox Monitor
- monitor.firefox.com 방문
- 이메일 입력으로 유출 여부 확인
- 새로운 유출에 이메일이 포함되면 알림 설정 가능
비밀번호가 유출됐다면 어떻게 해야 하나
유출을 발견하면 당황할 수 있지만, 대처 방법은 명확합니다.
1단계: 유출된 비밀번호 즉시 변경
해당 서비스에 로그인해서 비밀번호를 변경하세요. 최소 12자 이상의 강력하고 고유한 비밀번호를 사용하세요.
2단계: 같은 비밀번호를 사용한 모든 곳에서 변경
같은 비밀번호를 다른 사이트에서도 사용했다면, 모든 곳에서 변경해야 합니다. 공격자는 유출된 자격증명을 자동으로 여러 서비스에 시도하기 때문에, 이 단계가 가장 중요합니다.
3단계: 2단계 인증(2FA) 활성화
해당 계정과 다른 중요 계정에 2FA를 설정하세요. 인증 앱(Google Authenticator, Authy 등)이 SMS 기반 2FA보다 안전합니다.
4단계: 비인가 활동 확인
최근 로그인 기록, 연결된 기기, 계정 활동을 검토하세요:
- 낯선 위치나 기기에서의 로그인
- 계정 설정 변경 (이메일, 전화번호, 복구 옵션)
- 승인하지 않은 구매나 메시지
5단계: 비밀번호 관리자 도입 검토
이번 유출이 여러 서비스에서 재사용하던 비밀번호를 노출시켰다면, 비밀번호 관리자를 도입할 때입니다. 1Password, Bitwarden 등이 모든 계정에 고유한 비밀번호를 생성해 줍니다.
향후 유출을 방지하는 방법
| 습관 | 효과 |
|---|---|
| 모든 계정에 고유한 비밀번호 사용 | 유출 피해를 단일 서비스로 제한 |
| 중요 계정에 2FA 활성화 | 비밀번호가 유출돼도 공격 차단 |
| 비밀번호 관리자 사용 | 고유한 비밀번호를 실용적으로 관리 |
| HIBP 알림으로 이메일 모니터링 | 새 유출에 포함되면 즉시 알림 |
| 비밀번호를 평문으로 공유하지 않기 | 대화 기록에 자격증명이 남는 것을 방지 |
마지막 항목은 생각보다 중요합니다. 카카오톡으로 비밀번호를 보내면 대화 기록에 영구히 남습니다. 자격증명을 공유해야 한다면, LOCK.PUB에서 만료 시간이 있는 비밀 메모를 만들어 보세요. 설정한 시간이 지나면 정보가 사라집니다.
얼마나 자주 확인해야 하나
- HIBP 이메일 알림 설정 — 새 유출에 이메일이 포함되면 자동 알림
- Google 비밀번호 체크업 — Chrome 사용 시 3~6개월마다 실행
- Apple/Firefox 유출 경고 — 설정에 나타나면 즉시 확인
의심스러운 로그인 알림을 기다리지 마세요. 사전에 확인하는 것이 피해 발생 후 대응하는 것보다 훨씬 효과적입니다.
자주 묻는 질문
Have I Been Pwned은 안전한가요?
네. HIBP는 존경받는 보안 연구원 Troy Hunt가 운영합니다. 검색 기록을 저장하지 않으며, Pwned Passwords 기능은 k-anonymity를 사용해 전체 비밀번호가 서버로 전송되지 않습니다.
이메일이 유출 목록에 있지만 이미 비밀번호를 변경했다면?
이메일은 과거 유출 기록에 계속 표시됩니다. 유출 날짜 이후에 비밀번호를 변경했고 다른 곳에서 재사용하지 않는다면 안전합니다.
유출 데이터베이스에서 내 데이터를 삭제할 수 있나요?
아니요. 한번 유출된 데이터는 회수할 수 없습니다. 유일한 효과적 대응은 자격증명을 변경하고 추가 보안 조치를 활성화하는 것입니다.
지금 바로 확인하세요
haveibeenpwned.com에서 이메일을 확인해 보세요. 유출된 계정이 있다면 오늘 비밀번호를 변경하세요. 새 비밀번호를 안전하게 공유해야 한다면, LOCK.PUB에서 만료 시간이 있는 비밀 메모를 만들어 대화 기록에 남기지 마세요.
관련 키워드
다른 글도 읽어보세요
가족·커플 공유 계정 비밀번호, 안전하게 주고받는 법
넷플릭스, 와이파이, 클라우드 등 가족이나 연인과 공유하는 계정 비밀번호를 안전하게 전달하는 방법을 정리했습니다. 메신저로 보내면 안 되는 이유와 실전 대안까지.
면접 과제 코드 유출을 방지하는 법
면접 코딩 과제가 온라인에 유출되는 문제와 그 해결 방법을 알아보세요. 기업과 지원자 모두를 위한 과제 보호 전략과 비밀번호 보호 링크 활용법을 소개합니다.
개인정보 유출 사고 발생 시 즉시 해야 할 일: 단계별 대응 가이드
내 개인정보가 유출됐다면? 비밀번호 변경, 금융 모니터링, 2단계 인증 설정까지. 개인정보 유출 후 반드시 해야 할 대응 조치를 단계별로 알려드립니다.