보안

편리할수록 위험한 “브라우저에 암호 저장하기” 비교 분석

Eric Geier | PCWorld 2012.08.27
브라우저에 암호 그리고/또는 신용카드 정보를 저장해두면 편리하지만 보안상 위협이 될 수 있다. 위험의 수준은 사용하고 있는 브라우저의 종류, 다른 기기와의 동기화 여부, 추가적인 보안 기능의 사용 여부에 따라 달라진다. 오늘은 가장 널리 사용되고 있는 IE(Interent Explorer), 구글 크롬(Google Chrome), 모질라 파이어폭스(Mozilla Firefox) 등의 주요 취약성과 이런 약점을 극복할 수 있는 방법에 관해 알아보도록 하겠다.
 
보편적인 보안 위험
브라우저에 암호를 저장할 때의 가장 큰 문제점은 바로 사람이다. 자신의 컴퓨터에 접근할 수 있는 다른 사용자들이 자신의 계정에 로그인하여 실제적인 암호 또는 신용카드 정보를 볼 수 있을 뿐 아니라 컴퓨터, 스마트폰, 태블릿 등을 도난 당했을 때도 이런 위험이 도사리고 있다. 그리고 PC를 처분할 때 자신의 데이터를 제대로 삭제하지 않을 경우에도 이런 위험이 발생한다. 해당 PC를 얻게 되는 사람은 누구든 정보를 복구할 수 있는 것이다. 또한 바이러스와 악성 소프트웨어는 저장된 암호 또는 신용카드 정보를 훔쳐낼 수 있다.
 
이미 알아차렸겠지만, 은행 및 기타 매우 민감한 정보를 취급하는 사이트에 접속할 때는 브라우저에 암호를 저장할 수 없다. 하지만 보안이 덜 삼엄한 민감한 사이트에서 동일한 또는 유사한 암호를 사용한다면 누군가 여러분의 은행 암호를 어렵지 않게 추측할 수 있을 것이다.
 
일부 브라우저에서는 사이트, 사용자명, 암호 등의 저장된 로그인 정보가 목록으로 표시된다. 이런 기능이 없다 하더라도 웹브라우저패스뷰(WebBrowserPassView) 등의 유틸리티를 사용하면 이런 정보를 손쉽게 얻을 수 있다. 암호를 잊어버렸거나 모든 암호를 평가하고 싶을 때 이런 툴을 유용하게 사용할 수 있지만 침입자가 이런 소프트웨어를 사용하게 되면 큰 문제가 된다. 암호를 복구할 수 있는 또 다른 방법으로 불렛패스뷰(BulletsPassView) 등의 유틸리티를 사용하여 웹 페이지 또는 창의 가려진 암호 영역에서 암호를 표시하도록 하는 방법이 있다.
 
다음 부분에서는 인기 있는 3개의 브라우저(IE 9, 크롬, 파이어폭스)의 정보저장 기능을 살펴보고 보안을 위한 팁에 관해서 이야기해 보도록 하겠다.
 
IE 9
IE 9은 3개 브라우저 중에서 가장 기본적인 암호저장 기능을 제공한다. 또한 자동완성 기능은 사용자가 웹 양식 또는 검색 영역에 입력하는 사용자명과 주소 등의 데이터를 기억할 수 있다. 브라우저 환경설정 내에서 저장된 암호를 볼 수 있는 방법은 없다. 사용자는 단지 주요 환경설정을 변경하고 모든 자동완성 히스토리를 삭제할 수 있을 뿐이다.
암호 목록을 볼 수 없으면 일반적인 스누핑(Snooping)을 방지하는데 도움이 된다. 그리고 브라우저에 암호가 저장되어 있는 사이트에 로그인할 수 있다 하더라도 기본적으로 암호 자체를 볼 수는 없다. 하지만, 앞서 언급했듯이 해커가 마음만 먹으면 유틸리티를 사용하여 저장된 모든 암호를 알아내거나 로그인 페이지의 암호 영역에서 암호가 표시되도록 할 수 있다.
 
안타깝게도 IE 9은 여러 대의 컴퓨터 또는 기기에서의 환경설정 또는 저장된 데이터 동기화를 지원하지 않지만, 보안의 관점에서는 이런 단점이 장점으로 작용할 수 있다.
 
윈도우 8의 IE 10은 새로운 암호저장 및 동기화 기능을 제공하지만 윈도우 7에서도 동일한 기능이 제공될지 여부는 분명하지 않다. 필자는 IE 10과 윈도우 8의 RP(Release Preview) 버전을 시험하면서 제어판의 향상된 암호 관리자를 이용해 저장된 브라우저 암호를 보고 관리할 수 있다는 사실을 발견했다. 그리고 보안의 경우, 저장된 실제 암호를 보기 전에 윈도우 계정 암호를 반드시 다시 입력해야 하며, 이는 일반적인 스누핑을 방지하는데 도움이 될 수 있다.
 
 
      
 
또한 윈도우 8은 새로운 동기화 기능을 제공하여 다른 윈도우 8 컴퓨터 및 태블릿에서 윈도우 환경설정뿐만이 아니라 앱, 웹 사이트, 네트워크 암호를 동기화할 수 있다. 보안상의 이유로 새로운 컴퓨터 또는 태블릿에서 암호를 동기화하기에 아서 반드시 마이크로소프트 사이트에 로그인하고 새로운 기기를 승인해야 한다. 그리고 사전에 마이크로소프트 계정에 자신의 휴대폰 번호를 기입했다면 문자 메시지로 확인 코드를 전송하여 암호를 동기화하기에 앞서 마이크로소프트 사이트에 반드시 입력하도록 하고 있다.
 
 Tags

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.