크롬 저장된 비밀번호 유출 방법 - PC 계정 패스워드를 아는 경우

765자 ·4분
https://ko.andytips.com/security/chrome-password-extraction-with-pc-password/
목차

크롬의 비밀번호 해킹 시리즈 2편입니다.

크롬 브라우저의 비밀번호 자동완성 기능은 참 편리합니다.
그런데 아주 쉽게 유출될 수 있습니다.

PC 계정의 패스워드를 알고 있다면 크롬 비밀번호 전체를 공유하는거나 마찬가지 입니다.
이 해킹은 원격 해킹이 아닌 나의 가까운 사람이 나를 해킹하는 로컬공격(Local Attack)에 해당합니다.

크롬 비밀번호 자동완성의 취약점

크롬 브라우저의 비밀번호 자동완성 기능은 로그인 불편을 크게 줄여 주는 편리한 기능입니다.
하지만 이 기능이 동작하는 구조를 자세히 보면 보안 관점에서 상당한 취약점을 가지고 있습니다.

이 글에서는 PC 계정 패스워드를 알고 있는 경우
크롬에 저장된 비밀번호를 얼마나 쉽게 확인하고
또 얼마나 빠르게 외부로 유출할 수 있는지를 설명합니다.

크롬 자동완성 기능이 얼마나 위험할 수 있는지 이해하기 위해 우선 기본적인 조작 방법부터 차근차근 살펴보겠습니다.

중요한 PC 계정 패스워드

크롬은 저장된 비밀번호를 보호하기 위해 비밀번호를 평문으로 보여줄 때 윈도우 계정 패스워드를 한 번 더 요구합니다.
겉으로만 보면 추가 인증 절차가 있는 것처럼 보이지만 사실상 이 구조는 PC 계정 패스워드에 전적으로 의존합니다.

즉, PC 계정 패스워드를 알고 있는 사람이면
별도의 해킹 도구나 기술 없이 크롬에 저장된 모든 비밀번호를 평문으로 확인할 수 있습니다.

가정에서 가족끼리 계정 패스워드를 공유하는 경우나
또는 직장에서 어쩌다 내 PC의 패스워드를 다른 직원에게 알려주는 경우가 있다면
크롬에 저장된 비밀번호는 모두 유출될 수 있다고 생각해야 합니다.

방법 1: 개별 비밀번호 확인하기

크롬에 저장된 비밀번호를 평문으로 확인하는 방법입니다.
아주 간단하니 누구든지 따라하실 수 있습니다.

  1. 크롬에서 오른쪽 상단의 점 세 개(더보기 아이콘) 를 클릭합니다.

  2. 메뉴가 열리면 그 중 설정 을 클릭합니다.

  3. 설정에서 왼쪽 메뉴를 보면 자동 완성 및 비밀번호 또는 자동 완성 항목이 있습니다.
    크롬 버전에 따라 이름이 약간 다를 수 있는데 해당 항목을 선택합니다.

  4. Google 비밀번호 관리자 또는 비밀번호 메뉴를 클릭합니다.
    지금까지 크롬에 저장한 사이트 목록이 모두 표시됩니다.

  5. 목록에서 확인하고 싶은 사이트를 찾습니다.
    도메인 주소와 함께 아이디가 함께 표시됩니다.

  6. 해당 항목을 클릭하면 상세 정보 화면이 열립니다.
    여기에는 사이트 주소, 사용자 이름, 비밀번호 항목이 표시됩니다.

  7. 비밀번호 오른쪽에 있는 눈 모양 아이콘을 클릭합니다.
    이 시점에서는 아직 비밀번호가 별표로 가려져 있습니다.

  8. 윈도우에서 PC 계정 패스워드를 입력하라는 창이 나타납니다.
    그러면 PC의 계정 패스워드를 입력합니다.

  9. 패스워드 입력을 완료하면
    방금까지 별표로 보이던 비밀번호가 평문으로 그대로 노출됩니다.

방법 2: 모든 비밀번호를 한 번에 추출하기

크롬은 사용 편의를 위해 저장된 모든 비밀번호를 CSV 파일로 내보내기 하는 기능을 제공합니다.
이 기능을 이용하면 수십, 수백 개의 비밀번호를 단 몇 초 만에 유출할 수 있습니다.

그리고 이 파일을 USB로 복사하거나 온라인으로 전송한다면
몰래 복사한 후 다른 곳에서 전체 비밀번호를 차근차근 검토할 수 있을 것입니다.
그렇게 때문에 누군가가 PC 계정 패스워드를 알고 있다면 비밀번호는 언제든지 유출될 수 있습니다.

자 그러면 어떻게 전체 비밀번호를 유출하는지 확인해봅시다.

  1. 다음과 같이 크롬 설정의 비밀번호 관리 화면 으로 이동합니다.
    설정자동 완성 및 비밀번호Google 비밀번호 관리자

  2. 비밀번호 목록 화면에서
    오른쪽 상단의 톱니바퀴 모양 아이콘(설정 아이콘) 을 클릭합니다.

  3. 설정 메뉴 안에서
    비밀번호 내보내기 또는 Export passwords 항목을 선택합니다.

  4. 경고 메시지가 한 번 표시될 수 있습니다.
    이 내보내기 기능이 민감한 정보라는 안내 정도입니다.
    계속 진행을 선택합니다.

  5. 윈도우에서 다시 한 번
    PC 계정 패스워드를 입력하라는 창이 나타납니다.
    PC의 계정 패스워드를 입력합니다.

  6. 입력이 완료되면
    passwords.csv 같은 이름의 CSV 파일이 다운로드됩니다.

이 CSV 파일 안에는 각 사이트의 주소, 아이디, 비밀번호가 모두 평문으로 저장 되어 있습니다.
엑셀이나 메모장으로 열어보면 모든 계정 정보가 한눈에 정리된 상태로 나타납니다.

이 파일을 USB 메모리에 복사하거나 이메일로 전송하는 것만으로
PC에 저장된 전체 비밀번호를 외부로 가져갈 수 있습니다.

크롬 편의 기능의 한계

크롬 비밀번호 확인 과정은 어떠한 전문 해킹 도구도 필요하지 않습니다.
크롬이 기본으로 제공하는 기능만으로 일반 사용자가 설정을 탐색하는 수준의 조작만 하면
저장된 비밀번호를 모두 평문으로 확인할 수 있습니다.

크롬의 기본 기능이기도 하고 너무 쉬워보이기 때문에 이게 해킹이냐고 묻는 사람도 있을 것 같네요.
그런데 원래 해킹이나 정보유출은 가장 가까운 사람으로부터 일어나는 겁니다.

아무튼 누군가가 PC 계정 패스워드를 알고 있다면 크롬에 저장된 계정정보 전체가 한 번에 외부로 유출될 수 있고
실제 피해 관점에서는 전형적인 계정 탈취와 다르지 않습니다.

PC 계정 패스워드를 공유하는 가정 환경이나 물리적으로 접근이 쉬운 사무실 환경에서는
크롬 비밀번호 저장 기능이 실질적으로 보호 역할을 하지 못한다고 볼 수 있습니다.

로그인 편의를 위해 만들어진 기능으로 매우 유용하게 사용할 수 있지만
보안적인 측면에서는 충분한 보호를 제공하지 못한다는 점을 우리가 명확히 알고 있어야 합니다.

다음 글에서는 한 단계 더 나아가 PC 계정 패스워드를 모르는 상황에서도
특정 조건이 갖춰졌을 때 비밀번호가 어떻게 유출될 수 있는지 알려드리겠습니다.

시리즈 목록:

💡 관련 글

크롬 비밀번호 자동완성, 정말 안전할까? 저장된 패스워드의 실제 위험성

크롬 자동완성 기능은 편리하지만 저장된 비밀번호는 생각보다 쉽게 노출될 수 있습니다.
이 글에서는 자동완성 구조와 보안 취약점을 설명하고 다음 글에서 실제 유출 과정을 단계별로 설명합니다.

💡 관련 글

크롬 저장된 비밀번호 유출 방법 - PC 계정 패스워드를 모르는 경우

화면이 잠기지 않은 상태라면 PC 패스워드를 몰라도 크롬 비밀번호가 유출될 수 있습니다.
개발자 도구와 Firefox 가져오기 기능을 활용한 두 가지 방법을 설명합니다.

💡 관련 글

KeePassXC 패스워드 관리 - 훨씬 강화된 비밀번호 관리 방법

KeePassXC를 이용하면 홈페이지 비밀번호 자동완성을 훨씬 안전하게 사용할 수 있습니다.
마스터 패스워드를 지정하여 모든 비밀번호를 안전하게 관리하세요.