디지털 디바이스 / 모바일 / 보안

브라우저에 내장된 비밀번호 관리자, 사용해도 안전할까?

Jim Martin | TechAdvisor 2022.02.17
일반적으로 ‘보안’과 ‘편의’는 저울의 양쪽 끝에 위치한 상반된 요소다. 추가적인 보안에는 추가적인 불편이 따른다.

대표적인 예가 비밀번호다. 편의에 중점을 두고, 사용자는 은행 웹사이트부터 인터넷 커뮤니티까지 모든 웹사이트에 동일한 비밀번호를 사용할 수 있다. 모든 계정에 같은 아이디와 사용자 이름, 비밀번호를 설정하면 로그인할 때 하나만 기억하면 된다. 반면 보안에 최대한 중점을 둔다면 각 계정마다 고유하고 복잡한 암호와 다중 인증 절차를 설정해 보호한다.
 
ⓒ Getty Images Bank

많은 사용자가 모든 계정에 같은 비밀번호를 사용하는 것은 좋지 않으며, 웹사이트와 계정마다 다른 비밀번호를 사용해야 한다는 사실을 이미 알고 있을 것이다. 하지만 모든 계정의 아이디와 비밀번호를 외울 수는 없으므로, 비밀번호 관리자 프로그램을 사용하곤 한다.

비밀번호 관리자 기능은 웹 브라우저에도 내장돼 있다. 다만 비트워든(Bitwarden)이나 라스트패스(LastPass) 같은 비밀번호 관리자 전용 프로그램만큼 안전하다고는 생각하지 않는다. 그럼에도 웹 브라우저의 비밀번호 관리자 기능은 모든 계정에 같은 비밀번호를 사용하는 것보다는 안전하며, 편리하기도 하다. 브라우저에 내장된 비밀번호 관리 기능을 사용하는 장단점을 자세히 살펴보자.


장점 : 편리함

이미 설치돼 있다. 크롬, 파이어폭스, 엣지와 같은 브라우저에는 비밀번호 관리자 기능이 이미 내장돼 있다. 추가 소프트웨어를 설치할 필요가 없으며, 브라우저의 비밀번호 관리자는 무료이기 때문에 사용료를 지불하지 않아도 된다. 

사용자의 모든 기기와 연동할 수 있다. 특이한 브라우저를 사용하지 않는 이상 대부분 브라우저는 데스크톱 버전과 모바일 버전을 모두 보유하고 있다. 따라서 모든 기기에서 같은 브라우저를 사용한다면 한 기기에서 저장한 로그인 정보를 다른 기기에서도 사용할 수 있다. 로그인 정보를 동기화하기 위해서는 브라우저에 로그인하고 동기화 옵션을 활성화해야 하지만, 실질적인 이점임은 분명하다.

강력한 비밀번호를 자동으로 생성한다. 오늘날 브라우저는 새로운 계정을 만들거나 비밀번호를 변경할 때 복잡한 비밀번호를 제안한다. 이 기능을 활용하면 같은 비밀번호를 여러 계정에서 사용하는 것을 피할 수 있다.

로그인 정보를 자동으로 채워준다. 로그인 정보를 미리 저장해 놓은 웹사이트에서 로그인을 하면 브라우저가 로그인 정보를 자동으로 입력한다. 독립형 비밀번호 관리자 프로그램과 다를 바 없지만 매우 편리한 기능이다.


단점 : 보안

브라우저의 비밀번호 관리자가 언제나 안전한 선택지는 아니다. 다음과 같은 단점이 있기 때문이다.

독립형 비밀번호 관리자 프로그램보다 안전하지 않다. 가장 인기 있는 브라우저인 크롬을 예로 들어보자. 구글의 비밀번호 관리자의 기능은 꽤 좋지만, 구글이 주장하는 만큼 사용자의 비밀번호를 안전하게 유지하지는 못한다. 비밀번호 관리에 특화된 프로그램과는 달리 크롬은 모든 로그인 정보를 암호화하는 마스터 비밀번호를 사용하지 않는다. (몇몇 브라우저에서는 마스터 비밀번호를 지원하긴 하지만, 어찌 됐든 자신이 사용하는 브라우저를 신뢰해야 한다.)

이런 이유로 크롬에 저장된 비밀번호는 상대적으로 로컬 공격(local attack)에 취약하다. 즉, 자신의 윈도우 비밀번호를 알아낼 수 있거나 짐작할 수 있을 정도로 가까운 지인이 있다면, 그 지인은 언제든지 브라우저의 비밀번호 관리자에서 자신의 모든 로그인 정보를 확인할 수 있다. 사용자가 노트북이나 PC를 사용하다가 잠깐 자리를 비운 상황에서는 윈도우 비밀번호를 모르는 사람도 PC에 접근해 크롬 설정의 비밀번호 관리자에 접속할 수 있다.

물론 크롬 설정에서도 비밀번호는 가려져 있지만, 사용자 이름과 연관 웹사이트는 공개돼 있다. 악의적인 사람이라면 비밀번호 관리자 목록의 아무런 웹사이트에 접속해 자동 채우기 기능으로 로그인을 할 것이다. 정말로 교활한 사람이라면 F12를 눌러 브라우저의 개발자 콘솔에 접속한 뒤 크롬 비밀번호 관리자 페이지에서 가려진 비밀번호를 노출시킬 수 있다.

모든 계정에 대한 보안이 브라우저 보안에 좌우된다. 모든 기기에서 로그인 정보를 사용할 수 있도록 동기화를 활성화하면 편리하기는 하지만, 또 다른 위험이 되기도 한다. 로그인 정보가 암호화된 상태로 클라우드에 저장돼 있더라도 브라우저 계정이 해킹을 당한다면 해커가 사용자의 모든 로그인 정보에 액세스할 수 있기 때문이다. 

따라서 브라우저에서 비밀번호 관리자를 사용하고, 다른 기기와 동기화하는 사용자는 브라우저 계정에 2단계 인증을 거치는 것이 좋다. 브라우저에 저장된 자격증명은 동일한 브라우저에서 비밀번호 관리자를 사용하는 다른 계정의 모든 자격증명과 함께 해킹으로 도난당하고 노출될 가능성이 있다.

다른 비밀번호 관리자로 데이터를 옮기는 것이 항상 쉬운 것은 아니다. 브라우저의 비밀번호 관리자에 수백 개의 로그인 정보를 저장한 사용자가 주 사용 브라우저를 바꾸거나 뒤늦게 독립형 비밀번호 관리자 프로그램을 사용하고자 하는 경우가 있다. 하지만 로그인 정보를 옮기는 것이 생각보다 쉽지는 않다. 내보내기 옵션이 있더라도 사용하려는 브라우저와 비밀번호 관리자 프로그램과 호환되는 파일을 생성하지 못하는 경우가 있기 때문이다. 


독립형 비밀번호 관리자의 장단점

독립형 비밀번호 관리자도 나름 장단점이 있다. 일단 처음에는 사용료를 지불해야 할 수도 있고, 브라우저에서 제공하는 비밀번호 관리자보다 편리하지 않거나 사용 경험이 매끄럽지 않을 수 있다.

하지만 브라우저의 비밀번호 관리자보다 더 안전하다는 것 외에 독립형 소프트웨어가 지닌 가장 큰 장점은 브라우저 이외의 소프트웨어에서도 자동 로그인을 할 수 있다는 점이다. 다양한 앱에 로그인해야 하는 모바일 기기에서 특히 유용하다.

또한 독립형 비밀번호 관리자는 브라우저보다 더 많은 정보를 저장한다. 로그인과 관련한 메모나 여권 정보처럼 민감한 사항을 기록할 수 있다. 브라우저의 비밀번호 관리자에서는 제공하지 않는 기능이다. ‘보안’과 ‘편의’ 사이의 선택은 사용자의 몫이다.

editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.