비밀번호 관리자도 뚫린다면, 우리는 어디에 비밀을 맡겨야 할까
ETH 취리히 연구팀이 주요 비밀번호 관리자들의 '제로 지식' 보안 허점을 발견했다. 사이버보안 전문가들이 추천하던 필수 도구의 신뢰성에 균열이 생겼다.
10년간 '필수 도구'라던 것이 속았다면?
사이버보안 전문가들이 10년간 한목소리로 추천해온 도구가 있다. 비밀번호 관리자다. "모든 계정에 다른 비밀번호를 쓰세요. 비밀번호 관리자 없이는 불가능하니까요." 그런데 이 '필수 도구'가 우리 비밀을 제대로 지키고 있을까?
ETH 취리히와 USI 루가노 연구팀이 이 질문에 충격적인 답을 내놨다. Bitwarden, Dashlane, LastPass 같은 주요 비밀번호 관리자들을 분석한 결과, 이들의 '제로 지식' 보안 약속에 심각한 허점이 발견됐다는 것이다.
기업들의 '제로 지식' 약속이 무너지는 순간
비밀번호 관리자 회사들은 그동안 '제로 지식' 시스템을 자랑해왔다. "우리도 당신의 비밀번호를 볼 수 없습니다"라는 약속이었다. 모든 데이터가 암호화되어 회사 직원도, 해커도 접근할 수 없다는 설명이었다.
하지만 연구진은 이 약속이 얼마나 허술한지 보여줬다. 특정 기능이 활성화된 상태에서는 사용자의 전체 '금고'에 접근하거나, 심지어 비밀번호를 마음대로 수정할 수 있는 취약점들을 발견했다. 특히 비밀번호 백업과 복구를 위한 키 에스크로 시스템에서 문제가 컸다.
연구진은 "발견된 취약점들이 상대적으로 단순하다"며 "비밀번호 관리자들의 '제로 지식' 주장에 대한 검증이 부족하다는 것을 보여준다"고 지적했다.
한국 사용자들, 어떤 선택을 해야 할까?
국내에서도 1Password, LastPass 등 해외 서비스부터 V3 비밀번호 안전 같은 국산 솔루션까지 다양한 비밀번호 관리자를 사용하고 있다. 이번 연구 결과는 한국 사용자들에게도 직접적인 영향을 미친다.
특히 한국 기업들의 경우 더욱 복잡한 상황에 놓였다. 개인정보보호법 강화로 데이터 보안에 대한 책임이 커진 상황에서, 직원들이 사용하는 비밀번호 관리자의 보안성까지 고려해야 한다는 부담이 생겼다.
사이버보안 업계의 한 전문가는 "완벽한 보안 솔루션은 없다"면서도 "그렇다고 비밀번호 관리자를 포기할 수는 없다. 여전히 '123456' 같은 비밀번호를 재사용하는 것보다는 훨씬 안전하다"고 말했다.
기자
관련 기사
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
OpenAI가 보안 특화 AI 이니셔티브 'Daybreak'를 출시했다. Codex 에이전트를 활용해 취약점을 공격자보다 먼저 탐지·패치하는 이 서비스는 Anthropic의 Claude Mythos와 정면 경쟁 구도를 형성한다.
iMessage가 출시된 지 15년 만에 아이폰과 안드로이드 사용자 간 종단간 암호화 메시지가 가능해졌다. RCS 표준 채택의 의미와 카카오톡 시대의 한국 사용자에게 미치는 영향을 분석한다.
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
OpenAI가 보안 특화 AI 이니셔티브 'Daybreak'를 출시했다. Codex 에이전트를 활용해 취약점을 공격자보다 먼저 탐지·패치하는 이 서비스는 Anthropic의 Claude Mythos와 정면 경쟁 구도를 형성한다.
iMessage가 출시된 지 15년 만에 아이폰과 안드로이드 사용자 간 종단간 암호화 메시지가 가능해졌다. RCS 표준 채택의 의미와 카카오톡 시대의 한국 사용자에게 미치는 영향을 분석한다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요