최근 사이버보안 업체 플래시포인트(Flashpoint)에 따르면, 비트워든의 자동 채우기 기능은 다른 서비스보다 특히 취약한 것으로 나타났다. 플래시포인트 취약점 연구팀은 비트워든이 아이프레임(iframe)을 비정상적인 방식으로 처리하는 것을 발견했다.
아이프레임은 웹페이지 안에 또 다른 웹페이지의 요소를 삽입하는 태그다. 비트워든은 사용자가 저장한 ID와 비밀번호를 사용해 외부 웹사이트에서 호스팅된 양식을 채운다. 외부 HTML 요소 중 하나(가령 잘 알려진 공격 벡터인 광고 배너)라도 손상되면 로그인 데이터 도난으로 이어질 수 있다.
이런 취약점은 실수가 아니라 의도한 것이다. 지난 2018년 11월 보안 평가 보고서에서 비트워든은 아이프레임을 사용하는 웹사이트까지 도입을 확산하는 것이 목표라며, 대표적인 사이트로 아이클라우드를 언급했다.
아이프레임과 관련한 취약점은 ‘페이지 로드 시 자동 채우기’ 옵션 활성화 여부에 관계 없이 존재한다. 플래시포인트 테스트 결과, 이 기능을 사용하든 사용하지 않든 같은 위험을 수반하는 것으로 나타났다. 또한 비트워든은 사용자가 다른 페이지나 사이트에서 호스팅되는 양식을 작성할 때는 이런 위험에 대해 경고하지 않는다. 결국 이런 취약점은 위협 행위자가 악의적으로 제작한 하위 도메인에도 일종의 ‘무료입장권’을 제공할 수 있다.
한편, 다른 비밀번호 관리자는 자동 채우기 정책이 비트워든보다 훨씬 엄격했다. 플래시포인트가 비트워든 이외의 다른 서비스를 무작위로 검사한 결과, 저장된 사이트에서만 자동 완성되거나 아이프레임이 발견될 때 최소한 경고 메시지를 보낸다.
이런 취약점에서 개인정보를 보호하려면 다음 2가지 조치를 취할 것을 추천한다.
- 기본적으로 자동 완성 기능이 활성화되어 있다면, 이를 끈다. 좋은 서비스와 앱은 일반적으로 비활성화되어 있다.
- 외부 사이트에서 호스팅되는 정보를 자동 완성하지 않거나, 그렇게 하려고 할 때 경고하는 서비스를 사용한다.
비트워든을 계속 사용하고 싶다면 페이지 로드 시 자동 채우기 기능을 꺼야 한다. 아울러 다음과 같은 예방 조치를 취하는 것이 좋다.
- 신뢰할 수 있는 사이트에서만 수동으로 자동 완성 기능을 사용하라. 예를 들어, 애플은 HTML 요소 손상에 대비하는 자원을 갖추고 있을 것이다(그렇지 않으면 모두가 훨씬 큰 문제에 처하게 된다).
안타깝게도 비트워든 자동 채우기 기능의 취약점을 완화하지 않을 것으로 보인다. 사용자는 외부에서 호스팅된 양식의 손상 여부를 확인할 방법이 없으므로 로그인 정보 입력 방식을 달리하는 것 외에는 대처할 방법이 없다.
공식 웹사이트가 손상되면 그 어떤 방법도 안전하지 않다. 따라서 모든 웹사이트, 서비스, 앱에 대해 무작위의 비밀번호를 설정해 피해를 최소화할 필요가 있다. 좋든 싫든 수십 개의 자격증명을 관리하는 가장 효과적인 방법은 비밀번호 관리자뿐이다. 하나의 소프트웨어를 신중하게 선택하고 사용한다면 대부분 문제를 피할 수 있을 것이다.
editor@itworld.co.kr