“하나만 기억하고 싶어서 같은 비밀번호를 여러 사이트에 썼어요.”
이 말, 한 번쯤 해보셨죠? 저도 그랬습니다.
그런데 이번에 실험을 하면서 깨달았습니다.
같은 비밀번호를 쓴다는 건, AI 입장에서 ‘너의 다른 정보까지 파악할 수 있는 실마리’가 된다는 것.
해킹 이야기 아닙니다.
이번엔 AI가 여러 계정에서 반복되는 패턴을 어떻게 연결해내는지,
그리고 그 결과로 어떤 정보들이 노출될 수 있는지를 실험으로 보여드릴게요.
실험 목표 – “같은 비밀번호를 쓰면 AI는 뭘 파악할 수 있을까?”
일반적으로 비밀번호는 암호화되어 저장됩니다.
하지만 유출된 DB, 노출된 해시, 반복되는 패턴 등을 통해
AI는 ‘이 계정의 소유자가 이 계정도 소유하고 있을 가능성’을 추론할 수 있습니다.
저는 실제로 다음과 같은 조건으로 실험을 구성했습니다:
- 서로 다른 사이트 5곳 (쇼핑몰, 커뮤니티, 이력서 사이트, 메일, 업무 툴)
- 동일한 이메일 주소, 동일한 비밀번호 조합 사용
- AI에게는 공개된 유출 정보를 기반으로 연결 가능성 분석 요청
데이터 구성 – 실제 유출 DB에서 비밀번호 추출
먼저 Have I Been Pwned에서 유출된 DB를 수집했고,
유출된 이메일-비밀번호 조합 수천 건 중
반복적으로 사용된 패턴을 수집했습니다.
그 후, ChatGPT에게 이런 요청을 했습니다:
“다음 유출된 이메일과 비밀번호 목록에서
동일 비밀번호를 사용한 계정들을 연결해서,
이 사람이 어떤 사이트에 가입했는지 추정해줘.
가능하면, 직업군이나 생활 패턴도 예측해줘.”
AI가 연결한 정보 – ‘계정 연결’, ‘이용 습관’, ‘직업 유추’까지
놀랍게도 AI는 이메일 주소가 살짝 다르더라도
비밀번호가 같고, 이름 패턴이 유사한 경우
“같은 사용자가 여러 사이트에서 동일하게 활동했을 가능성이 높다”고 판단했습니다.
예:
- kim.ys@gmail.com → 커뮤니티 사이트 A
- ys.kim@gmail.com → 쇼핑몰 B
- 비밀번호 모두 gksdml123!
AI는 다음과 같이 분석했습니다:
“이 사용자는 쇼핑, 커뮤니티, 이력서 플랫폼에서
같은 비밀번호를 재사용하고 있으며,
활동 시간대는 주로 야간 (20시~01시),
가입 시 사용한 이메일은 유사하나 도메인이 다름.
IT 관련 커뮤니티 활동 이력, 업무 툴 사용 이력을 볼 때
해당 사용자는 개발 또는 디자인 직군으로 추정 가능.”
비밀번호 하나로 여기까지 추정해냈습니다.
직접 입력하지 않은 정보도
패턴만 보고 ‘연결’을 해낸 겁니다.
비밀번호가 연결고리가 된다
AI에게는 ‘비밀번호’가
그저 로그인 수단이 아니라, 관계 추론의 단서가 됩니다.
예를 들어, 어떤 사용자가
sunny2024!이라는 비밀번호를
- 여행 블로그
- 쿠팡
- 회사 이메일
- 노션 계정에 모두 동일하게 썼다면,
AI는 다음과 같은 추론을 합니다:
- “블로그 글에 여행 일정이 있으니, 이 사용자는 실명 기반”
- “회사 이메일로 업무 연동을 했으니 조직 정보와 연결됨”
- “비밀번호 재사용 패턴상, 같은 사람이 만든 계정들일 가능성 높음”
즉, 비밀번호 하나로
실명, 직장, 성향까지 연결된 프로필이 만들어진다는 얘기입니다.
같은 비밀번호 = ‘디지털 지문’이 될 수 있다
이 실험을 하면서 느낀 건,
AI가 사람보다 훨씬 더 빠르게
‘연결’을 잘한다는 점이었습니다.
우리는 단지 “기억하기 편하니까” 같은 비밀번호를 쓰지만,
AI는 이걸 보면
“이 사람의 행위 흐름”을 읽어냅니다.
그리고 그 연결고리가 많아질수록,
한 계정이 뚫렸을 때 나머지가 줄줄이 따라오는 건
시간 문제라는 사실도 보여줍니다.
실험 결론 – 비밀번호가 같은 순간, AI는 이미 알아차린다
비밀번호 하나로 AI가 추론한 정보:
- 내가 가입한 사이트들
- 내 사용 시간대
- 내 이메일 도메인 분포
- 내 실명 or 닉네임 성향
- 내 직업군 추정
- 내가 어떤 환경에서 인터넷을 쓰는지
이게 단순히 무서운 이야기로 끝나는 게 아니라,
‘이제는 비밀번호 하나가 개인 정보의 열쇠’가 아니라 ‘패턴의 열쇠’가 된 시대라는 걸 알려줍니다.
그래서 어떻게 해야 하나?
- 중요한 계정에는 반드시 고유한 비밀번호 사용
- 절대 비밀번호 재사용 금지
- 비밀번호 관리자 사용 + 2단계 인증 기본
- AI 기반 보안 진단 도구 주기적 활용 권장
- (예: Bitwarden AI 분석, Google Security Checkup 등)
'AI 보안 실천법' 카테고리의 다른 글
| 접속 기록과 국가 정보, AI에게 분석 맡겨봤더니 나온 결과 (0) | 2025.05.09 |
|---|---|
| AI에게 “비밀번호를 뚫어봐”라고 시켜봤습니다 – 실제 패턴 실험 결과 (0) | 2025.05.09 |
| AI로 만든 비밀번호, 정말 안전한가? (실험 결과 공유) (0) | 2025.05.08 |
| 비밀번호 관리자에 AI 기능을 추가하면 생기는 변화 (0) | 2025.05.08 |
| AI가 알려주는 내 정보 유출 경로 – 구글 알림보다 빠를 수 있을까? (0) | 2025.05.08 |
| 2단계 인증 vs OTP vs FIDO2 – AI 관점에서 안전도 비교 (0) | 2025.05.08 |
| 이메일 자동분류 기능에 AI 필터링 추가하는 방법 – 손 안 대고 스팸 정리하기 (0) | 2025.05.08 |
| Outlook vs Gmail – AI 보안 필터 비교 (0) | 2025.05.08 |
