비밀번호 관리자 아직도 안 쓰는 '잘못된' 이유 6가지

Alaina Yee | PCWorld 2022.06.10
개인 보안 활동은 여전히 경시되고 있다. 특히 비밀번호의 경우에는 더욱 그렇다. 똑 같은 비밀번호를 재사용하고, 쉽게 알아낼 수 있는 비밀번호를 고집하고, 보안 수칙 변화에 주의를 기울이지 않는 사용자가 많다. 우수한 비밀번호 관리자 프로그램이 많지만, 이들 사용자가 비밀번호 관리자를 사용하지 않는 이유도 분명히 설득력이 있다. 이해할 만하다. 그러나 결코 옳은 행동은 아니다.
 
비밀번호는 집 현관문의 자물쇠와 같다. 도시에서 산다면(복잡한 인터넷 생태계를 고려해 도시로 예를 들어 보자) 모두가 최소 1개 이상의 자물쇠를 사용하고 있을 것이다. 하지만 문 손잡이 자물쇠를 선택하면 숙련된 절도범이 통과하는 데 1분 정도밖에 걸리지 않는다. 절도를 막기 위해서는 최소한 여분의 잠금 장치가 있어야 하며, 우범지대에서는 두꺼운 문, 문 앞 강철 게이트, 견고한 힌지와 나사를 사용할 것이다.
 
ⓒ Pixabay

열쇠에만 의지할 필요도 없다. PIN 패드, 블루투스 판독기 같은 여러 출입 방법이 있고 보안 구성도 다양하게 맞출 수 있다.
 
비밀번호 관리자도 마찬가지다. 생활 패턴을 크게 바꾸지 않고서도 필요에 따라 자신에게 적합한 제품을 선택할 수 있다. 비밀번호 관리자를 사용하지 않는 사용자의 주장을 하나씩 논파해 보자.
 

착각 1 : 나만의 시스템이 잘 작동하고 있다

ⓒ Getty Images Bank

아직도 문자가 아니라 숫자와 기호만 써도 되고, 오래된 비밀번호를 계속 사용해도 괜찮다고 생각하는 사람이 많다. 하지만 이런 전략은 이제 강력하지 않다. 필자의 동료 마크 해크먼은 비밀번호 해킹, 습관적인 비밀번호 패턴 추론이 얼마나 쉬운지를 기사로 썼다. 디지털 도어의 자물쇠를 여는 것이 점점 쉬워지는 것이다.

계정을 탈취하려는 시도가 절대 없을 것이라는 확신도 머지 않아 철회하게 될 것이다. 데이터 유출 빈도와 범위는 계속 증가하고 있다. 중요한 서비스가 점차 온라인화되면서 해로운 결과도 늘어난다. 자신만의 긴 무작위 비밀번호를 만들어놨더라도 비밀번호 관리자가 만드는 비밀번호보다 보안이 약하거나 어느 순간 잊어버리게 된다.
 

착각 2 : 시간이 너무 많이 든다

ⓒ PCWorld

이 편견은 절대로 사실이 아니다! 로그인 정보를 수동으로 입력하는 것이 비밀번호 관리자를 불러와 로그인 정보를 자동으로 입력하는 것보다 더 오래 걸린다. 얼핏 입력 속도가 느려진 것 같아도 사실은 그렇지 않다.

비밀번호 관리자는 별 다른 어려움 없이 설정할 수 있다. 구글, 애플, 마이크로소프트의 생태계(심지어 파이어폭스 등의 브라우저)에 내장된 비밀번호 관리자는 기존 계정과 연계할 수 있고 여러 장치에서 자동화된 비밀번호 관리를 제공한다.

잠시 짬을 내어 가입한 후 브라우저 확장기능과 모바일 앱을 설치하는 경우에는 서드파티 비밀번호 관리자도 꽤 원활하다. 완전한 워크플로우 통합을 위해 1~2가지의 시스템 설정을 수정해야 하겠지만, 역시 시간이 얼마 걸리지 않는다. 설정을 완료하면 기본 비밀번호 관리자만큼 경험이 원활하고 기능은 더욱 탄탄하다.
 
모든 비밀번호를 관리자 프로그램에 한 번에 입력하는 것이 이상적이겠지만 꼭 그럴 필요도 없다. 비밀번호 관리자를 사용하면서 계정에 로그인할 때마다 하나씩 비밀번호 정보를 추가하면 된다.
 

착각 3 : 비용이 너무 많이 든다

ⓒ PCWorld

사실 비밀번호 관리자 프로그램에 1원도 지출할 필요가 없다.

그렇다. 유료 비밀번호 관리자를 추천하는 경우는 어디까지나 기본 보호 기능이 아니라 추가적인 유용한 기능 때문이다. 유료 서비스는 이중 인증 옵션(하드웨어 인증 키 또는 비밀번호 관리자로 소프트웨어 기반 토큰을 생성하는 등), 비밀번호 공유 기능, 그룹 액세스가 포함된 가족 요금제, 특수 여행 관련 기능 등을 제공한다. 큰 돈을 들이지 않고도 삶을 눈에 띄게 개선할 수 있다.

하지만 로그인 정보를 안전하게 저장하고, 모든 웹 사이트와 앱에서 쓸 수 있는 긴 무작위 비밀번호를 생성하는 것 자체는 무료로도 충분하다. 무료 비밀번호 관리자도 유료와 마찬가지로 방문하는 사이트를 인식해 자동으로 로그인 정보를 입력하고, 기본적인 이중 인증을 지원한다.
 
뿐만 아니라 비밀번호를 안전하게 공유하고, 신뢰할 수 있는 연락처를 위해 비상 액세스를 설정하며 고유한 사용자 이름(비밀번호만 생성하는 것이 아님) 생성, 이메일을 가리는 기능 등을 제공한다.
 

착각 4 : 모든 비밀번호를 한 곳에 보관하면 위험하다

ⓒ PCWorld

모든 비밀번호를 한 곳에 보관하면 보안에 취약해질 것 같다. 누군가 비밀번호 관리자에 침투하면 모든 정보가 다 날아갈 것만 같다.
 
하지만 큰 어려움 없이 이런 우려를 완화할 수 있다. 제1 방어선은 좋은 비밀번호 관리자를 선택하고 이중 인증을 활성화하는 것이다. 스스로를 보호하는 가장 중요한 방법이다. 또한 설치된 모든 브라우저 확장기능 및 앱에 PIN, 생체인식 인증, 마스터 비밀번호 등을 설정하고 계정을 보호하면 된다.

비밀번호 저장 방식으로 문제를 최소화하거나 없앨 수도 있다. 예를 들어, 모든 로그인 정보가 담긴 파일을 완벽하게 통제할 수 있는 키패스(KeePass)를 관리자로 활용할 수 있다. 신뢰할 수 있는 PC 또는 외장 드라이브에 저장하면(백업도 잊지 말자) 비밀번호 액세스가 제한된다.
 
ⓒ PCWorld

아니면 다양한 서비스와 앱에 비밀번호를 분산할 수 있다. 라스트패스(LastPass)와 비트워든(Bitwarden)에 가입하고 각각의 제품에 계정을 달리 저장하는 방법이다. 또는 덜 중요한 계정의 정보를 클라우드 기반 관리자에 저장하고 중요한 계정 정보는 키패스 파일에 보관하는 것이다. 비밀번호 자체를 여러 조각으로 나눠 여러 계정에 저장하는 방법도 있다. 브라우저 확장기능 또는 앱을 장치에 설치하는 방법과 병행할 수 있다.

조금 복잡해 보이지만, 몇 개의 강력한 비밀번호만 기억하면 된다. 그러면 기억하는 모든 비밀번호를 수동으로 입력하는 것보다 더 빠르고 강력한 시스템을 갖게 된다.
 

착각 5 : 비밀번호를 클라우드에 저장하는 것이 위험해 보인다

ⓒ Microsoft

이런 우려에도 이유가 아무리 부지런한 기업도 시스템에 취약성이 있기 마련이다. 버그가 불행하기는 하지만 소프트웨어 개발 시 발생할 수밖에 없다.

하지만 다른 방법이 있다. 앞서 언급했듯 키패스는 비밀번호를 로컬 파일로 저장하기 때문에 데이터를 클라우드 기반 스토리지가 아닌 곳에 보관할 수 있다. 아니면 키패스 금고 파일을 드롭박스, 원드라이브, 아이클라우드 드라이브, 구글 드라이브 등 신뢰하는 클라우드 스토리지 업체(해커를 적절히 물리치거나 악의가 있는 직원을 잘 막을 수 있는 인력을 보유한)로 업로드하여 자신만의 클라우드 솔루션을 구성할 수 있다.

하이브리드 시스템도 사용할 수 있다. 덜 중요한 계정(주소와 청구 정보 등이 있는 곳)에는 온라인 비밀번호 관리자를 사용하고 금융 및 기타 개인적인 계정은 더욱 엄격하게 통제되는 환경에 저장된다. 타겟(Target)에서 Ilovetarget.com을 온라인 쇼핑에 필요한 비밀번호로 사용하는 데 문제가 없었던 경우 이 솔루션이 그렇게 불쾌하지는 않을 것이다.
 

착각 6 : 비밀번호 관리자 프로그램이 마음에 안 들어도 바꿀 수 없다

ⓒ PCWorld

아니다. 비밀번호 관리자를 마음에 드는 곳으로 바꿀 수 있다. 모든 유명한 비밀번호 관리자는 일반적으로 비밀번호를 내보내는 기능이 있다. 암호화된 파일로 내보낼 수 있으므로 민감한 데이터가 해커의 손에 들어갈 위험이 최소화된다. 가장 간과하기 쉬운 부분인데, 모든 비밀번호가 포함된 평문 텍스트 파일은 위험하므로 항상 암호화된 옵션을 선택한다.
 

우수한 비밀번호 관리자라면 무엇이든 없는 것보다 낫다

가끔 유료 비밀번호 관리자를 써야만 한다거나, 브라우저 기반 비밀번호 관리자 기능을 쓰지 말아야 한다는 기사를 읽고 잘못 판단하는 일은 없어야 할 것이다. 온라인 보안이 너무 복잡하다고 오해해서도 안 된다.

결론은 간단하다. 어떤 제품이든 유명하고 잘 알려진 제품이라면 자신이 사용하는 바로 그 제품이 최고다. 모두가 안전하고 보안이 강화된 온라인 생활을 할 수 있어야 한다. 누구도 비밀번호 해킹 사건이 벌어진 이후 수습하는 것을 원치는 않을 것이다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.