크롬 비밀번호 자동완성, 정말 안전할까? 저장된 패스워드의 실제 위험성

크롬의 비밀번호 해킹 시리즈 1편입니다.

크롬 브라우저의 비밀번호 자동완성 기능은 참 편리합니다.
그런데 편리한 만큼 보안관리도 잘 해야 합니다.

크롬에 저장된 비밀번호가 얼마나 쉽게 유출될 수 있는지 확인해봅시다.
이 해킹은 원격 해킹이 아닌 나의 가까운 사람이 나를 해킹하는 로컬공격(Local Attack)에 해당합니다.

크롬 비밀번호 자동완성 기능

크롬 브라우저는 사용자가 입력한 로그인 정보를 내부 저장소에 보관합니다.
이후에 홈페이지에 접속하면 미리 저장된 아이디와 비밀번호를 자동으로 채워 주기 때문에
로그인 과정이 간단해지고 여러 사이트를 이동할 때도 작업 흐름이 매우 부드러워집니다.

요즘은 보안을 위해 사이트마다 서로 다른 비밀번호를 지정해야 하는데
이런 방식은 안전하지만 사용자가 모든 비밀번호를 기억하기가 사실상 어렵습니다.

그 때문에 많은 사용자가 자동완성 기능에 의존하게 되고
이 기능이 주는 편리함 덕분에 비밀번호를 다양하게 설정하는 데도 부담이 줄어듭니다.

또한 구글 계정과 동기화되기 때문에
PC와 모바일, 노트북 등 여러 기기에서 동일한 로그인 정보를 그대로 사용할 수 있습니다.

이처럼 편의성이 높다 보니 한 번 사용하기 시작하면
비밀번호 자동완성 없이 인터넷을 사용하는 것이 불편하게 느껴질 정도입니다.

자동완성의 보안성과 위험

크롬은 저장된 비밀번호가 바로 노출되지 않도록
비밀번호 원문을 확인할 때 윈도우 계정 비밀번호를 요구하는 방식의 보호 장치를 두고 있습니다.
표면적으로는 안전해 보이지만 이 구조는 윈도우 계정 비밀번호를 다른 사람이 모른다는 전제를 필요로 합니다.

그런데 은근히 우리는 PC 로그인 정보를 공유하죠.
가정에서는 가족 간 계정 비밀번호를 공유하는 경우가 많고
직장에서도 간혹 바쁜 상황에서는 내 PC의 비밀번호를 타인에게 알려주는 경우가 있습니다.

이런 환경에서 계정 비밀번호가 유출되는 것은 그리 어려운 일이 아닙니다.

놀라운 것은 화면이 켜진 상태로 자리를 비운 상황처럼
업무 중 아주 일상적인 상황에서도 크롬에 저장된 비밀번호가 유출될 수 있습니다.

윈도우 계정의 비밀번호를 알고 있다면 순식간에 유출될 것이고,
계정의 비밀번호를 모르더라도 유출하는 방법이 있습니다. 놀랍죠?

결국 자동완성 기능은 사용자 편의를 위한 기능일 뿐
전용 비밀번호 관리 도구와 같은 수준의 보호 기능을 제공하지 않습니다.

반복적으로 사용하다 보면 이 기능을 안전한 비밀번호 관리 방식으로 오해하기 쉬운데
계정 공유나 물리적 접근이 가능한 환경에서는 이러한 것이 그대로 보안 취약점으로 이어질 수 있습니다.

크롬 저장된 비밀번호 유출 방법

이번 포스팅은 크롬 비밀번호 자동완성이 왜 위험 요소가 될 수 있는지 그 배경과 구조적인 이유를 설명하기 위한 내용입니다.
다음 글에서는 실제 환경에서 저장된 비밀번호가 어떤 방식으로 유출될 수 있는지 단계별로 확인해 보겠습니다.
사실 너무 쉽게 유출될 수 있기 때문에 깜짝 놀랄겁니다.

유출이 될 수 있다는 점에 놀라고, 너무나도 쉽다는 점에 다시한번 놀랄거에요.

편리한게 좋긴 하지만 너무 맹신하지는 마세요.
편의와 보안은 반비례합니다. 편리함을 찾아보면 보안의 문제가 생길거에요.
크롬 비밀번호 자동완성의 취약한 점을 알게되었다면 마지막 글에 더 안전하게 패스워드 관리하는 방법을 꼭 확인하세요.

정보보안을 지키면서 편의성도 갖추는 방법이 있습니다.

시리즈 목록: