비밀번호 관리자의 '제로 지식' 약속이 무너지고 있다

9400만 명의 믿음이 흔들리고 있다

미국 성인 36%가 사용하는 비밀번호 관리자. 은행 계좌부터 암호화폐 지갑까지, 우리 디지털 생활의 모든 열쇠를 맡기고 있다. 그런데 이들이 15년간 외쳐온 '절대 안전' 약속에 균열이 생겼다.

Bitwarden, Dashlane, LastPass 같은 주요 업체들은 모두 '제로 지식(Zero Knowledge)' 암호화를 내세운다. "우리조차 당신의 데이터를 볼 수 없다"는 것이 핵심 메시지다. 하지만 최근 보안 연구들이 이 약속의 허점을 하나씩 드러내고 있다.

제로 지식의 함정

LastPass는 "당신 외에는 누구도 볼트에 접근할 수 없다(심지어 LastPass도)"라고 단언한다. Dashlane은 "마스터 패스워드 없이는 악의적 공격자가 정보를 훔칠 수 없다"고 보장한다. Bitwarden 팀도 "우리조차 당신의 데이터를 읽을 수 없다"고 강조한다.

하지만 현실은 다르다. 60%의 사용자가 약한 마스터 패스워드를 사용하고, 서버 측 암호화 구현에는 여전히 취약점이 존재한다. 특히 국가급 해커들에게는 이런 '제로 지식' 시스템도 뚫을 수 있는 대상일 뿐이다.

한국 사용자들의 딜레마

국내에서도 비밀번호 관리자 사용이 급증하고 있다. 네이버, 카카오의 통합 로그인 서비스와 함께 글로벌 업체들도 한국 시장에 진출했다. 하지만 대부분의 한국 사용자들은 여전히 "1234" 같은 단순 패스워드나 생일을 조합한 패스워드를 사용한다.

문제는 비밀번호 관리자를 믿고 모든 계정 정보를 맡겼는데, 정작 그 관리자 자체가 완벽하지 않다는 점이다. 특히 암호화폐 거래소 계정이나 증권사 정보까지 저장한 사용자들에게는 더 큰 위험이다.

업계의 반박과 현실

비밀번호 관리자 업체들은 "완벽한 보안은 없지만, 개별 패스워드 관리보다는 훨씬 안전하다"고 반박한다. 실제로 같은 패스워드를 평균 14개 사이트에서 재사용하는 일반 사용자들보다는 안전한 것이 사실이다.

하지만 '제로 지식'이라는 마케팅 용어가 사용자들에게 절대적 안전이라는 착각을 준 것도 부인할 수 없다. 보안 전문가들은 "제로 지식은 기술적 개념이지, 완벽한 보안을 의미하지 않는다"고 지적한다.