보안

비밀번호 관리자의 ‘자동 채우기’ 기능을 조심해서 사용해야 하는 이유

Alaina Yee | PCWorld 2023.03.16
비밀번호 관리자가 제공하는 자동 채우기 기능은 사용자가 특정 웹사이트에 저장한 ID와 비밀번호로 로그인 양식을 자동으로 입력한다. 편리하긴 하지만, 보안 전문가 대부분은 자동 채우기 기능을 완전히 비활성화할 것을 권장한다. 웹사이트가 사이버 공격을 받은 경우 사용자가 이런 사실을 인지하지 전에 악의적인 행위자가 로그인 정보를 캡처할 수 있다. 특히 비트워든(Bitwarden) 사용자는 자동 채우기를 사용하지 않는 것이 좋다.
 
ⓒ Towfiqu barbhuiya/Unsplash
 
최근 사이버보안 업체 플래시포인트(Flashpoint)에 따르면, 비트워든의 자동 채우기 기능은 다른 서비스보다 특히 취약한 것으로 나타났다. 플래시포인트 취약점 연구팀은 비트워든이 아이프레임(iframe)을 비정상적인 방식으로 처리하는 것을 발견했다.

아이프레임은 웹페이지 안에 또 다른 웹페이지의 요소를 삽입하는 태그다. 비트워든은 사용자가 저장한 ID와 비밀번호를 사용해 외부 웹사이트에서 호스팅된 양식을 채운다. 외부 HTML 요소 중 하나(가령 잘 알려진 공격 벡터인 광고 배너)라도 손상되면 로그인 데이터 도난으로 이어질 수 있다.

이런 취약점은 실수가 아니라 의도한 것이다. 지난 2018년 11월 보안 평가 보고서에서 비트워든은 아이프레임을 사용하는 웹사이트까지 도입을 확산하는 것이 목표라며, 대표적인 사이트로 아이클라우드를 언급했다. 
 
아이클라우드의 로그인 페이지는 아이프레임을 사용해 apple.com을 통한 로그인을 지원한다. 비트워든은 자동 채우기에 대한 정책이 느슨한 이유가 이런 사이트 때문이라고 말했다. ⓒ Foundry

아이프레임과 관련한 취약점은 ‘페이지 로드 시 자동 채우기’ 옵션 활성화 여부에 관계 없이 존재한다. 플래시포인트 테스트 결과, 이 기능을 사용하든 사용하지 않든 같은 위험을 수반하는 것으로 나타났다. 또한 비트워든은 사용자가 다른 페이지나 사이트에서 호스팅되는 양식을 작성할 때는 이런 위험에 대해 경고하지 않는다. 결국 이런 취약점은 위협 행위자가 악의적으로 제작한 하위 도메인에도 일종의 ‘무료입장권’을 제공할 수 있다. 

한편, 다른 비밀번호 관리자는 자동 채우기 정책이 비트워든보다 훨씬 엄격했다. 플래시포인트가 비트워든 이외의 다른 서비스를 무작위로 검사한 결과, 저장된 사이트에서만 자동 완성되거나 아이프레임이 발견될 때 최소한 경고 메시지를 보낸다.

이런 취약점에서 개인정보를 보호하려면 다음 2가지 조치를 취할 것을 추천한다.
 
  • 기본적으로 자동 완성 기능이 활성화되어 있다면, 이를 끈다. 좋은 서비스와 앱은 일반적으로 비활성화되어 있다. 
  • 외부 사이트에서 호스팅되는 정보를 자동 완성하지 않거나, 그렇게 하려고 할 때 경고하는 서비스를 사용한다.

비트워든을 계속 사용하고 싶다면 페이지 로드 시 자동 채우기 기능을 꺼야 한다. 아울러 다음과 같은 예방 조치를 취하는 것이 좋다.
 
  • 신뢰할 수 있는 사이트에서만 수동으로 자동 완성 기능을 사용하라. 예를 들어, 애플은 HTML 요소 손상에 대비하는 자원을 갖추고 있을 것이다(그렇지 않으면 모두가 훨씬 큰 문제에 처하게 된다).
 
강력한 비밀번호를 설정하고 각 사이트마다 고유한 비밀번호를 설정하는 것은 온라인 보안의 핵심이다. ⓒDominik Tomaszewski/Foundry

안타깝게도 비트워든 자동 채우기 기능의 취약점을 완화하지 않을 것으로 보인다. 사용자는 외부에서 호스팅된 양식의 손상 여부를 확인할 방법이 없으므로 로그인 정보 입력 방식을 달리하는 것 외에는 대처할 방법이 없다. 

공식 웹사이트가 손상되면 그 어떤 방법도 안전하지 않다. 따라서 모든 웹사이트, 서비스, 앱에 대해 무작위의 비밀번호를 설정해 피해를 최소화할 필요가 있다. 좋든 싫든 수십 개의 자격증명을 관리하는 가장 효과적인 방법은 비밀번호 관리자뿐이다. 하나의 소프트웨어를 신중하게 선택하고 사용한다면 대부분 문제를 피할 수 있을 것이다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.