비밀번호 관리자도 뚫린다면, 우리는 어디에 비밀을 맡겨야 할까

ETH 취리히 연구팀이 주요 비밀번호 관리자들의 '제로 지식' 보안 허점을 발견했다. 사이버보안 전문가들이 추천하던 필수 도구의 신뢰성에 균열이 생겼다.

10년간 '필수 도구'라던 것이 속았다면?

사이버보안 전문가들이 10년간 한목소리로 추천해온 도구가 있다. 비밀번호 관리자다. "모든 계정에 다른 비밀번호를 쓰세요. 비밀번호 관리자 없이는 불가능하니까요." 그런데 이 '필수 도구'가 우리 비밀을 제대로 지키고 있을까?

ETH 취리히와 USI 루가노 연구팀이 이 질문에 충격적인 답을 내놨다. Bitwarden, Dashlane, LastPass 같은 주요 비밀번호 관리자들을 분석한 결과, 이들의 '제로 지식' 보안 약속에 심각한 허점이 발견됐다는 것이다.

비밀번호 관리자 회사들은 그동안 '제로 지식' 시스템을 자랑해왔다. "우리도 당신의 비밀번호를 볼 수 없습니다"라는 약속이었다. 모든 데이터가 암호화되어 회사 직원도, 해커도 접근할 수 없다는 설명이었다.

광고주 모집

하지만 연구진은 이 약속이 얼마나 허술한지 보여줬다. 특정 기능이 활성화된 상태에서는 사용자의 전체 '금고'에 접근하거나, 심지어 비밀번호를 마음대로 수정할 수 있는 취약점들을 발견했다. 특히 비밀번호 백업과 복구를 위한 키 에스크로 시스템에서 문제가 컸다.

연구진은 "발견된 취약점들이 상대적으로 단순하다"며 "비밀번호 관리자들의 '제로 지식' 주장에 대한 검증이 부족하다는 것을 보여준다"고 지적했다.

국내에서도 1Password, LastPass 등 해외 서비스부터 V3 비밀번호 안전 같은 국산 솔루션까지 다양한 비밀번호 관리자를 사용하고 있다. 이번 연구 결과는 한국 사용자들에게도 직접적인 영향을 미친다.

특히 한국 기업들의 경우 더욱 복잡한 상황에 놓였다. 개인정보보호법 강화로 데이터 보안에 대한 책임이 커진 상황에서, 직원들이 사용하는 비밀번호 관리자의 보안성까지 고려해야 한다는 부담이 생겼다.

사이버보안 업계의 한 전문가는 "완벽한 보안 솔루션은 없다"면서도 "그렇다고 비밀번호 관리자를 포기할 수는 없다. 여전히 '123456' 같은 비밀번호를 재사용하는 것보다는 훨씬 안전하다"고 말했다.