Offcanvas

보안 / 소비자IT

비밀번호 관리 앱의 장단점 7가지

2018.12.11 Roger A. Grimes  |  CSO
필자는 보안이 중요한 웹사이트와 서비스에 최신 비밀번호를 고려해야 한다는 주제로 글을 써왔다. 또 다시 조언한다면 내용은 다음과 같을 것이다.

-    다중 인자 인증(MFA)을 사용하라.
-    MFA를 선택할 수 없는 경우 비밀번호 관리 앱을 사용해 각 웹사이트 또는 보안 영역마다 가능한 길고 고유한 무작위 비밀번호를 생성한다.
-    비밀번호 관리 앱이 불가능한 경우 길고 단순한 패스프레이즈를 사용한다.
-    모든 경우에 보편적인 비밀번호(“password” 또는 “qwerty” 등)를 사용하지 말고 사이트들에서 비밀번호를 재사용하지 않는다.

이 조언은 NIST 특수 문서 800-63 디지털 신원 가이드에 대한 필자의 입장에 반하는 것으로 보일 수 있다. NIST SP 800-63에서는 가능한 경우 비밀번호가 아닌 방식을 사용하도록 권고하며, 매우 길고 복잡한 비밀번호를 사용하는 강제력에는 확실히 반하기는 하지만, 비밀번호 길이나 복잡성에는 제한이 없다.

길고 복잡하며 빈번하게 바뀌는 비밀번호 생성과 사용은 강제한다고 잘 되는 것이 아니다. 여러 웹사이트에서 같은 비밀번호나 약간 다른 비밀번호를 사용하기 때문에 패턴을 파악하기 쉬워지기도 한다.

같은 사람이 MFA 또는 기타 비 기억 인증 방식을 사용하는 경우 반복적인 비밀번호와 패턴 사용의 전반적인 위험이 줄어든다. 그러므로, 기억할 필요가 없는 길고 복잡한 비밀번호를 생성하여 사용하는 비밀번호 관리 앱을 사용할 때는 이 두 가지를 최대한 활용할 수 있다.


 

비밀번호 관리 앱 앱으로 전향한 이유

지금까지 수 년 동안 비밀번호 관리 앱 앱을 테스트하고 추천했다. 처음에는 코드와 작업의 품질 및 보안이 의심스러웠었다. 초기 버전은 결국 익스플로잇 공격과 해킹 사례가 언론에 보도되고 말았다. 그러나 현재 인기가 많은 비밀번호 관리 앱 앱 대다수는 기능이 풍부하고 충분히 안전해서 사용하기에 좋다고 생각한다.

최근까지 필자는 여기에 전적으로 의존하면서 기억하고 있는 모든 비밀번호를 포기하지 않았었다. 필자는 "실사용" 없이 추천하는 것에 대한 회의감이 느껴졌다. 그래서 가능한 모든 비밀번호 보안 로그온에 대해 비밀번호 관리 앱만을 사용하기로 결정했다. 필자가 모든 비밀번호 관리 앱을 테스트하지 않았고 잘 모르는 리뷰를 제공하고 싶지는 않기 때문에 개인적으로 어떤 제품을 사용하는지를 밝히지는 않을 것이다.

비밀번호 관리 앱을 사용하기로 결정하게 된 가장 중요한 위협은 해킹되는 웹사이트의 서비스의 수였다. “haveIbeenpwnd” 같은 웹사이트를 방문해 보면 어떤 로그온 및 비밀번호가 인터넷에 공개되었는지 보고 놀랄 것이다. 필자처럼 구분할 수 있는 패턴이 있는 보편적인 비밀번호를 사용한다면, 아예 모든 비밀번호를 변경하는 것이 나을 것이다. 인증하는 모든 웹사이트에서 7개의 비밀번호만을 사용하는 사람이 되지는 말자.
 

비밀번호 관리 앱 경험의 장점

필자는 상용 비밀번호 관리 앱을 다운로드하여 구매했다. 그리고 며칠에 걸쳐 수백 개의 웹사이트에서 기존의 비밀번호를 변경하여 비밀번호 관리 앱이 비밀번호 생성 및 사용을 담당하도록 했다. 필자는 필자가 사용하는 2개의 인기 브라우저를 위한 관련된 추가 부가기능을 포함하여 각 장치에 비밀번호 관리 앱을 다운로드했다. 몇 개월 동안 사용하면서 느낀 비밀번호 관리 앱의 장점은 다음과 같다.

광고한 내용 그대로 작동 : 우선 무엇보다도 비밀번호 관리 앱을 통해 여러 웹사이트에서 비밀번호를 생성, 기록, 재사용할 수 있다는 장점이 크다. 대부분의 경우에 광고 내용과 같았다. 제대로 작동하지 않은 경우는 아래에서 다루도록 하겠다.
 

길고 복잡한 무작위 비밀번호를 쉽게 생성하여 사용하기

하지만 웹사이트의 약 10~15%는 긴 비밀번호(최대 10글자인 경우도 있었다)나 기호를 사용할 수 없었다. 그래서 신속하게 자동 생성 무작위 비밀번호를 특정 웹사이트의 비밀번호 정책에 맞추어야 했다. 필자가 사용한 비밀번호 관리 앱은 새 무작위 비밀번호를 생성하기 위해 정책을 빠르게 변경했다.
 

자동 로그인이 가능한 비밀번호 관리 앱

비밀번호 관리 앱은 비밀번호를 자동으로 입력할 수 있으며 즉석으로 비밀번호 관리 앱을 불러와 비밀번호를 입력하기가 쉽다. 비밀번호 관리 앱을 사용할 때는 브라우저가 비밀번호를 기억하지 않도록 하자. 그렇게 함으로써 비밀번호 저장소를 잠재적인 공격자로부터 보호할 수 있다. 1~2주 만에 필자는 적응을 완료했고, 아무런 생각 없이 자연스럽게 비밀번호를 불러와 로그온 정보를 신속하게 작성할 수 있었다.
 

비밀번호 복구 질문 안전하게 저장하기

필자는 비밀번호 관리 앱에 복구 질문의 답변을 저장할 수 있다는 점이 좋았다. 복구 질문에 대한 정확한 답변을 제공하는 것을 절대로 추천하지 않지만, 대신에 추가적인 비밀번호 필드로 취급하면 된다. 복구 질문 답변을 기록할 수 있으나 필자의 비밀번호 관리 앱은 필요할 때 자동으로 작성하지 않았다.
 

비밀번호 외의 것을 안전하게 보관하기

필자는 신용카드, 멤버십 카드, 메모, 기타 중요한 정보를 비밀번호 관리 앱에 모두 저장했다.
 

여러 장치에서 활용하기

비밀번호 관리 앱과 저장된 모든 비밀을 여러 장치에서 손쉽게 공유할 수 있다는 점이 좋으며 모든 장치에서 잘 작동했다. 비밀번호를 업데이트하면 몇 초 만에 업데이트가 이미 저장되고 다른 장치에도 반영된다.
 

가족 구성원과 공유 가능

필자의 배우자는 필자가 필자의 필수적인 금융 정보를 알리지 않은 채로 갑자기 죽거나 떠나는 것에 대해 걱정하고 있다. 배우자의 컴퓨터에 또 다른 비밀번호 관리 앱 인스턴스를 설치하고 마스터 비밀번호를 알려주며 필자의 웹사이트에 얼마나 쉽게 로그온할 수 있는지 보여주었다. 비밀번호를 저장할 뿐 아니라 모든 웹사이트 목록을 보는 것만으로도 배우자는 안도감을 느꼈다. 필자에게 무슨 일이 일어난다면 배우자는 각 웹사이트에 로그인하고 방문하여 알아 두어야 할 중요한 사항이 있는지 알 수 있다. 배우자가 모든 웹사이트와 로그온을 보지 못하게 하고 싶다면 공유할 로그온을 선택하거나 자신의 사망 시 자신의 배우자와 공유할 비밀번호 관리 앱 정보를 신뢰할 수 있는 (법적) 제3자에게 제공할 수 있다. 우울하게 들릴 수도 있지만, 더 큰 마음의 평화를 느꼈다.
 

비밀번호 관리 앱 경험의 단점

비밀번호 관리 앱을 좋아했던 만큼 단점도 있다. 그 중 중요한 것들을 살펴보자.
 

모든 장치와 브라우저를 지원하는 것은 아님

사용할 모든 장치에 비밀번호 관리 앱을 설치해야 한다. 필자의 비밀번호 관리 앱은 필자가 사용하는 모든 장치와 브라우저를 위한 버전이 있었다. 대부분의 비밀번호 관리 앱은 대개 구글 크롬, 마이크로소프트 엣지, 마이크로소프트 익스플로러 등 2~3개의 브라우저만 지원한다. 다른 브라우저를 좋아하는 경우 특정 비밀번호 관리 앱이 이를 지원하는지 확인하거나 덜 마음에 드는 브라우저를 사용할 수밖에 없다.

대부분은 웹 기반 브라우저 로그온에만 적용됨 : 대부분의 비밀번호 관리 앱은 웹사이트에만 호환된다. 컴퓨터, 장치, 기업 네트워크 등에는 로그온하지 않을 것이다.
 

단일 장애점

마스터 비밀번호나 다른 식별 정보를 잊어버리는 경우 모든 비밀번호에 대한 액세스를 한 번에 잃을 수도 있다.
 

모든 웹사이트와 호환되지 않음

필자의 비밀번호 관리 앱은 일부 웹사이트와 호환되지 않았다. 문제는 비밀번호 관리 앱이 새 웹사이트에 로그인하는 것을 인지하지 못해 수동으로 불러와야 했다는 점이다. 때로는 웹사이트에 자동으로 입력하지 않았다. 비밀번호 관리 앱에서 로그온 필드로 비밀번호를 복사할 수도 없었다. 그런 경우에는 길고 복잡한 비밀번호를 수동으로 입력해야 했다. 번거로웠지만 이런 일은 거의 없었다.
 

승인되지 않은 변경 사항

스마트폰에 비밀번호 관리 앱을 설치하자 알 수 없는 이유로 스마트폰의 저장소 암호화 및 부트업 PIN이 비활성화되었다. 이 사실을 인지하고 재활성화하자 비밀번호 관리 앱에 휴대전화에 로그온할 수 없다고 표시되었다. 상관없다. 소프트웨어가 특히 이유를 명확히 밝히지 않고 부트업 암호화 소프트웨어를 비활성화하는 것은 상관이 있다.  

알 수 없는 충돌

설명할 수 없는 충돌이 발생하여 비밀번호 관리 앱이 종료되는 경우가 있었다. 몇 초 후에 손쉽게 재시작할 수 있었지만 분명 개선해야 할 버그가 있다. 비밀번호 관리 앱 프로그램이 충돌 때문에 손상되어 사용할 수 없게 되면서 사용자가 생성한 모든 길고 복잡한 비밀번호를 잃어버렸다는 사례도 있었다. 대부분의 비밀번호 관리 앱은 암호화된 백업을 생성하기 때문에 프로그램 관리 앱이 그렇게 충돌하는 경우 재설치하여 복구할 수 있다. 이런 종류의 중대한 프로그래밍 손상은 시간이 지나면서 감소할 것으로 생각된다.
 

SSO(Single Sign-On) 신뢰하기

가장 큰 단점은 해커가 모든 비밀번호가 든 메커니즘을 해킹할 수 있는 SSO 방식의 위험이다. 매우 현실적인 위험이다. 필자가 자주 해킹을 당하는 것은 아니지만(지난 30년 동안 한 번) 해커나 멀웨어로 인해 해킹을 자주 당하는 경우 SSO 방법을 사용하지 말아야 할 것이다. 로컬 비밀번호 관리 앱 비밀번호 저장소를 도난 당하는 경우 공격자가 마스터 비밀번호를 얻지 못하면 비밀번호 데이터베이스가 무용지물일 것이다. 비밀번호 저장소를 얻을 수 있다면 마스터 비밀번호도 기록할 수 있을 것이란 생각이 든다. 해커가 컴퓨터에 침투하여 비밀번호 관리 앱에 액세스할 수 있다면 (비밀번호 관리 앱 또는 기타 해킹된 SSO 방법으로 쉬워지긴 하지만) 어쨌든 비밀번호를 얻게 될 것이다.

필자는 전반적으로 비밀번호 관리 앱 사용에 매우 만족한다. 광고 그대로 작동하며 이를 통해 더욱 안전해졌다는 느낌이 든다. 더 이상 쉽게 깰 수 있는 비밀번호나 특정 패턴에 맞는 비밀번호는 사용하지 않는다.  가장 큰 두려움은 모두가 비밀번호 관리 앱을 사용하게 되면 더 많은 해커와 멀웨어가 더욱 자주 표적화하여 SSO 위험이 더욱 많이 발생할 수 있다는 점이다. editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.