UPDATED   2020. 11. 10(화) 15:23
페이지상단으로이동

‘암호 관리자’가 보안 강화에 도움이 될까? 전문가 의견은?

    • 이진영 기자
    • |
    • 입력 2020-08-25 16:15
    • |
    • 수정 2020-08-25 16:15

회사 계정부터 개인 SNS에 이르기까지 하루에 몇 번씩 로그인을 위해 ‘비밀번호’를 입력하는 것은 여간 번거로운 일이 아니다. 사이트마다 요구하는 비밀번호 최소 길이나 필수 요소도 다르고, 보안을 위해서 복잡한 암호를 설정하다 보면 수많은 사이트의 비밀번호를 일일이 기억하는 것이 어려워진다.

그래서 최근에는 보안은 지키면서 비밀번호 관리의 편리성을 높이기 위해 ‘암호 관리자’에 계정 정보를 저장하고 사용하는 경우가 많다. 하지만 암호 관리자가 보안 강화에 도움이 될지, 반대로 위험 요소가 될지에 대한 전문가 의견이 나뉜다. 테크리퍼블릭은 4명의 기술 전문 기자의 경험과 분석을 토대로 ‘암호 관리자’의 장단점에 대해 살펴보았다.

  • 암호 관리자의 장점

기술 전문 기자인 롭 페고라로(Rob Pegoraro)는 라스트패스(LastPass), 1Password 다양한 암호 관리자를 사용했다. 일부 계정에서는 iCloud 키체인이나 구글이 크롬(Chrome)과 안드로이드(Android)에 구축한 계정을 사용하고 있다.

라스트패스는 개인 계정에 암호화된 암호를 저장하는 프리미엄 암호 관리자 서비스이다. 1Password는 캐나다의 Agilebits Inc.가 개발한 비밀번호 관리 애플리케이션으로 맥, 윈도우즈, iOS, 안드로이드, 리눅스를 지원한다.

페고라로는 엔드 투 엔드(end-to-end) 암호화 서비스를 수십 개의 복잡한 비밀번호를 기억하기 위한 완벽한 대안으로 보고 있다.

그는 “암호 관리자는 머리로 기억하는 것이나 브라우저 자동입력을 사용하는 것보다 더 안정적이고 안전하게 비밀번호를 저장하는 방법이 될 것입니다. 한 번 복잡한 비밀번호를 설정하고 외우면, 2단계 인증이 가능하게 합니다.”라고 말했다. 또 "최종 방어선은 SIM-스와핑 계정에 취약한 문자 메시지를 통해서는 안 됩니다. 모든 암호 관리자는 피싱 공격에 조작되지 않는 USB 보안키를 통해 이를 제공해야 합니다.”라고 말했다.

다만, 그는 암호 관리자를 지지하지만 가장 중요한 계정의 비밀번호를 저장하지는 않는다고 덧붙였다.

IT 컨설팅 회사의 사장인 데이비드 스트롬(David Strom)은 수년간 LastPass를 사용했다. 그는 Mac, Windows 노트북, 아이폰 세 디바이스를 전환하며 암호 관리자에 접속해 사용해왔다.

스트롬은 “MFA에 의해 보호되는 강력한 마스터 볼트 암호를 가지고 있기 때문에, 사이트 간에 비밀번호를 재사용하는 것보다 훨씬 더 안전하다고 확신하고 있습니다.”라며 서비스의 이점이 관련된 보안 위험보다 더 크다고 말했다.

또 그는 암호 관리자가 기술 지원에도 도움을 줄 수 있다고 말했다. 암호 관리자의 보안 노트 기능이 가족 구성원의 중요한 비밀번호를 저장해놓기 좋은 방법이라며, 가족 구성원이 비밀번호를 잊어버리거나 계정에 도움이 필요할 때 일차적인 기술 지원이 가능하다고 설명했다.

  • 암호 관리자의 단점

기술 저널리스트 션 마이클 커너(Sean Michael Kerner)은 여러 비밀번호 관리자를 사용해보고 위반에 대한 글을 작성한 뒤, 자신은 비밀번호를 관리할 때 ‘종이’를 활용한 낮은 기술적 접근 자세를 취한다고 밝혔다.

그는 “저는 어떤 비밀번호 관리자도 절대적으로 신뢰하지 않습니다. (암호관리자에는) 필연적으로 위험이 따릅니다.”라고 말하며 종이를 활용한 방법에 대해 “종이는 저차원적인 기술(low-tech)이지만, 효과적입니다”라고 설명했다.

커너는 다요소 인증에 유비키(YubiKey)를 사용한다. 유비키는 공인인증서를 휴대폰 앱 또는 유심에 저장/발급해 공인인증서가 필요할 때 전자 서명을 사용할 수 있는 서비스이다.

익스트림랩스(ExtremeLabs Inc.)의 창업자인 톰 헨더슨(Tom Henderson)은 기업이 주요 해킹 대상에 포함되기 때문에 비밀번호 관리자를 사용하지 않는다고 밝혔다.

헨더슨은 “비밀번호 관리자에 의지하다 보면 습관화되고 안전할 것이라고 의지하게 되는데, 이는 위험합니다”라고 설명했다.

그는 “편리함 측면에서는 효과적일 수 있지만, 모든 장치에 동일한 키를 사용하는 것은 불편할 수 있다”라고 말했다.

  • 암호 관리에 대한 팁

헨더스는 다중 요소 인증을 사용하는 것 외에도, 비밀번호와 보안 인증서를 ‘good_recipes.txt’나 ‘school_dates.txt’와 같이 기억하기 쉬운 이름의 텍스트 파일을 만들어서 보관할 것을 제안했다. 이때 사용자는 암호를 자주 업데이트하고, 파일에서 이전 버전을 삭제해야 한다.

그는 “최악의 상황이 발생했을 때, 최소한의 비밀번호는 가지고 있을 수 있도록 미리 플래시 드라이브에 복사한 뒤 분리해두세요”라고 말했다.

또 몇몇 기자들은 활성 비밀번호가 노출되었는지 확인하기 위해 한 달에 한 번씩 HaveiBeenPwned(이메일 계정 유출 여부 체크 사이트)를 점검할 것을 제안했다.

스트롬은 사용자가 손상된 비밀번호를 사용하지 못하게 하는 1Password의 기능을 라스트패스가 통합하기를 바란다고 말했다.

이진영 기자

댓글 [ 0 ]
댓글 서비스는 로그인 이후 사용가능합니다.
댓글등록
취소
  • 최신순
닫기

뉴스레터 구독하기

세상을 바꾸고 있는 블록체인과 IT 관련 이야기를 쉽고 재미있게 만나보세요.

개인정보 수집 및 이용

뉴스레터 발송을 위한 최소한의 개인정보를 수집하고 이용합니다. 수집된 정보는 발송 외 다른 목적으로 이용되지 않으며, 서비스가 종료되거나 구독을 해지할 경우 즉시 파기됩니다.