LLMs가 예측 가능한 비밀번호를 생성한다
발행: (2026년 2월 26일 오후 09:07 GMT+9)
3 분 소요
Source: Schneier on Security
LLMs는 비밀번호 생성에 서툽니다
- 이 50개의 비밀번호에는 눈에 띄는 강한 패턴이 쉽게 보입니다:
- 모든 비밀번호는 문자로 시작하며, 보통 대문자 G 로 시작하고 거의 항상 뒤에 숫자 7 이 붙습니다.
- 문자 선택이 매우 고르지 않습니다 — 예를 들어 L, 9, m, 2, $, # 은 50개의 비밀번호 모두에 나타났지만 5 와 @ 는 각각 한 개의 비밀번호에만 나타났으며, 알파벳의 대부분 글자는 전혀 등장하지 않았습니다.
- 어떤 비밀번호 안에도 중복 문자가 없습니다. 확률적으로 보면, 비밀번호가 진정으로 무작위라면 이런 현상은 매우 드물어야 하는데, Claude는 “덜 무작위처럼 보이기” 때문에 중복 문자를 피한 것으로 보입니다.
- Claude는 기호
*를 피했습니다. 이는 Claude의 출력 형식이 Markdown이며,*가 특수 의미를 갖기 때문일 수 있습니다. - 전체 비밀번호 자체가 중복됩니다: 50번 시도 중 실제로는 30개의 고유 비밀번호만 존재했습니다. 가장 흔한 비밀번호는
G7$kL9#mQ2&xP4!w로, 18번 반복되어 테스트 세트에서 36 % 의 확률을 차지했습니다; 이는 진정한 100‑비트 비밀번호라면 기대되는 확률(2‑100)보다 훨씬 높습니다.
이 결과는 놀라운 것이 아닙니다. 비밀번호 생성은 LLM이 잘하지 못하도록 설계된 작업과 정확히 일치합니다. 그러나 AI 에이전트가 자율적으로 작업을 수행한다면 계정을 생성하게 되고, 이는 보안 문제를 야기합니다. 자율 에이전트를 인증하는 전체 과정에는 많은 깊은 도전 과제가 존재합니다.