크롬 저장된 비밀번호 유출 방법 - PC 계정 패스워드를 모르는 경우

673자 ·4분
https://ko.andytips.com/security/chrome-password-extraction-without-pc-password/
목차

크롬의 비밀번호 해킹 시리즈 3편입니다.

앞서 PC 계정의 패스워드를 알고 있는 경우
손쉽게 저장된 비밀번호를 유출할 수 있다는 것을 확인하였습니다.

이번 글에서는 PC 계정의 패스워드를 몰라도
크롬에 저장된 비밀번호를 모두 유출하는 방법을 알아보겠습니다.

이 해킹은 원격 해킹이 아닌 나의 가까운 사람이 나를 해킹하는 로컬공격(Local Attack)에 해당합니다.

크롬 비밀번호 자동완성의 또 다른 취약점

크롬 브라우저의 비밀번호 자동완성 기능은
로그인 불편을 줄여 주는 편리한 기능입니다.

하지만 이 기능이 동작하는 구조를 자세히 보면
PC 계정 패스워드를 모르는 경우에도
화면이 켜져 있기만 하면 비밀번호가 유출될 수 있는
추가적인 취약점을 가지고 있습니다.

이 글에서는 PC 계정 패스워드를 모르는 사람이라도
잠시 비워진 자리의 PC 앞에 앉을 수 있는 상황이라면
크롬에 저장된 비밀번호를 어떤 방식으로 가져갈 수 있는지 설명합니다.

우선 일상적인 사용 환경에서 발생할 수 있는 상황부터 살펴보겠습니다.

로컬공격(Local Attack)의 위험성

우리는 보통 자리를 비울 때 화면을 잠그려고 합니다.
하지만 바쁜 업무 중, 커피를 사러 나간 잠깐의 순간,
혹은 전화를 받으러 나가는 짧은 시간처럼
화면 잠금을 깜빡하는 경우는 누구에게나 발생할 수 있습니다.

윈도우의 자동 잠금 기능도
대부분 5분, 10분처럼 여유 있는 시간으로 설정되어 있습니다.

하지만 로컬 공격(Local Attack)은
바로 이 짧은 순간을 악용합니다.
PC 화면이 켜져 있고 브라우저가 열린 상태라면
공격자는 추가적인 정보 없이도 비밀번호를 가져갈 수 있습니다.

자동완성 비밀번호의 구조

자동완성으로 채워진 비밀번호 입력란은
화면에서는 ●●●● 형태로 가려져 보이지만
브라우저 내부에서는 이미 비밀번호가 평문으로 존재합니다.

HTML의 <input type="password"> 요소는
단지 비밀번호를 “가려서 보여줄 뿐”이며
실제 값은 DOM 요소의 value 속성에 그대로 저장됩니다.

따라서 개발자 도구나 스크립트를 통해
이 값을 그대로 읽어낼 수 있습니다.
이 구조 자체가 로컬 공격을 가능하게 만드는 핵심 요소입니다.

방법 1: 개발자 도구 활용

이 방법은 웹 개발 도구(Developer Tools)를 활용해
자동완성된 비밀번호를 직접 확인하는 방식입니다.
자바스크립트를 몰라도 따라 할 수 있는 수준입니다.

  1. 비밀번호가 자동완성된 로그인 페이지로 이동합니다.
  2. 비밀번호 칸이 ●●●● 형태로 채워진 상태를 확인합니다.
  3. 비밀번호 입력 칸에서 마우스 오른쪽 버튼을 클릭합니다.
  4. 검사(Inspect) 메뉴를 선택합니다.
  5. 개발자 도구가 열리며 해당 HTML 코드가 강조됩니다.
  6. <input type="password" ...> 요소를 확인합니다.
  7. 여기서 id 값이나 name 값을 확인합니다.
  8. 개발자 도구 상단의 Console 탭을 클릭합니다.
  9. 다음 명령을 입력합니다.
    ※‘password’ 부분은 방금 확인한 실제 ID로 바꿉니다. 
    console.log(document.getElementById('password').value);
  10. Enter 키를 누르면 비밀번호가 그대로 표시됩니다.

조금 길어 보이지만 한 번 해보면 30초도 걸리지 않는 과정입니다.

방법 2: Firefox 활용

이 방법은 Firefox 브라우저의 “다른 브라우저에서 데이터 가져오기” 기능을 이용하는 것입니다.
Firefox의 기본기능이기 때문에 손쉽게 따라할 수 있습니다.

  1. Firefox를 다운로드하여 설치합니다.

  2. 처음 실행하면 “다른 브라우저에서 데이터 가져오기” 화면이 나타납니다.

  3. Chrome 을 선택합니다.

  4. 가져오기 항목 중 로그인 정보(Passwords) 를 체크합니다.

  5. “다음”을 누르면 크롬의 비밀번호가 Firefox로 옮겨집니다.

  6. Firefox의 메뉴에서 비밀번호(about:logins) 를 엽니다.

  7. 모든 사이트의 아이디와 비밀번호가 평문으로 표시됩니다.

  8. “비밀번호 내보내기(Export)”를 선택하면
    전체 비밀번호를 CSV 파일로 저장할 수 있습니다.

특이하게도 Firefox는 저장된 비밀번호를 확인하는데 PC 계정의 패스워드를 묻지 않습니다.
또한 크롬에 저장된 비밀번호는 Firefox에서 제공하는 데이터 가져오기 기능을 이용하여
손쉽게 Firefox로 옮겨 올 수 있습니다.

편의 기능이 만든 구조적 위험

위의 두 가지 방법은
전문적인 해킹 기술이나 도구를 전혀 사용하지 않습니다.

어이없는 상황이기는 하지만 Firefox를 이용하면 크롬에 저장된 비밀번호를 모두 확인할 수 있는 것이죠.
단, PC 화면이 열려있어야 한다는 전제가 있습니다.

그러니 주위의 누군가가 정말 크롬 패스워드를 탈취하고자 마음을 먹었다면
당신이 잠시 자리 비우는 사이를 노릴 것입니다.
잠시 자리 비운 사이에 순식간에 Firefox를 설치하고 모든 크롬의 비밀번호를 유출할 수 있으니까요.

화면을 잠그지 않은 짧은 순간이 계정 탈취로 이어질 수 있으며
공유 PC, 사무실 PC, 가족 PC 같은 환경에서는 얼마든지 일어날 수 있는 일 입니다.

자동완성 기능은 어디까지나 편의를 위한 기능이지
강력한 보안을 제공하기 위한 기능이 아님을 우리는 명확하게 이해해야 합니다.

그러면 어떻게 해야 할까요?
비밀번호 자동완성 기능을 포기할 수는 없잖아요.

다음 글에서는 이러한 위험을 피하고 안전하게 비밀번호를 관리할 수 있는
전용 비밀번호 관리 도구(KeePassXC)에 대해 자세히 설명하겠습니다.

시리즈 목록:

💡 관련 글

크롬 비밀번호 자동완성, 정말 안전할까? 저장된 패스워드의 실제 위험성

크롬 자동완성 기능은 편리하지만 저장된 비밀번호는 생각보다 쉽게 노출될 수 있습니다.
이 글에서는 자동완성 구조와 보안 취약점을 설명하고 다음 글에서 실제 유출 과정을 단계별로 설명합니다.

💡 관련 글

크롬 저장된 비밀번호 유출 방법 - PC 계정 패스워드를 아는 경우

PC 계정 패스워드를 아는 사람이라면 크롬에 저장된 모든 비밀번호를 몇 분 만에 확인하고 유출할 수 있습니다.
실제 절차를 단계별로 설명합니다.

💡 관련 글

KeePassXC 패스워드 관리 - 훨씬 강화된 비밀번호 관리 방법

KeePassXC를 이용하면 홈페이지 비밀번호 자동완성을 훨씬 안전하게 사용할 수 있습니다.
마스터 패스워드를 지정하여 모든 비밀번호를 안전하게 관리하세요.