Google 비밀번호 관리자는 안전하고 안전합니까?
개인의 온라인 활동에서 비밀번호는 매우 중요한 역할을 합니다. 소셜 미디어 계정부터 결제 시스템, 심지어 스마트 홈 보안 장치까지, 비밀번호는 디지털 세계로 들어가는 열쇠와 같습니다. 구글에서 제공하는 무료 비밀번호 관리 도구는 여러 서비스와 연동되어 있어 모든 기기에서 비밀번호를 편리하게 사용할 수 있게 해줍니다. 그렇다면 구글 비밀번호 관리자는 얼마나 안전할까요? 다른 경쟁 서비스들과 비교했을 때는 어떤 장단점이 있을까요?
구글 비밀번호 관리자란?
크롬북이나 안드로이드 기기를 사용하거나 구글의 크롬 브라우저를 통해 웹 서핑을 해본 사용자라면 구글 비밀번호 관리자에 대해 이미 알고 있을 가능성이 높습니다.
웹사이트에 로그인 정보를 입력하면 "비밀번호를 저장하시겠습니까?" 라는 메시지가 나타납니다. 일반적으로 "저장" 또는 "저장 안 함" 중 하나를 선택할 수 있습니다.
만약 '저장'을 선택했다면, 다음번에 해당 웹사이트를 방문할 때 크롬 브라우저는 사용자가 별도로 입력하지 않아도 로그인 정보(사용자 이름과 비밀번호)를 자동으로 채워줍니다.
구글 비밀번호 관리자를 사용해야 하는 이유는?
가장 큰 장점은 편리함입니다. 구글 크롬 브라우저를 이미 사용 중이라면 구글의 통합 비밀번호 관리 도구를 이용하는 것이 매우 편리합니다.
어떤 크롬 브라우저에서든 구글 계정에 로그인만 하면, 마치 자신의 컴퓨터를 사용하는 것처럼 웹사이트에 자동으로 로그인할 수 있습니다.
크롬이나 다른 구글 기기에 로그인했는지 여부와 상관없이 저장된 비밀번호를 확인하려면 브라우저에서 구글 비밀번호 관리 페이지를 방문하면 됩니다. 구글 계정 비밀번호 하나만 기억하면 되므로 아주 간편합니다.
구글 비밀번호 관리자는 비밀번호를 어디에 저장할까요?
구글 계정에 로그인한 경우, 로컬에 저장된 크롬 비밀번호는 Passwords.google.com에 동기화됩니다. 만약 로그인하지 않은 상태라면 URL 표시줄에 chrome://password-manager/passwords를 입력하면 됩니다.
URL 입력 없이 비밀번호에 접근하고 싶다면, 먼저 구글 비밀번호 관리자를 로컬에 설치해야 합니다. 크롬 브라우저 오른쪽 상단의 메뉴 아이콘을 클릭하고 "구글 비밀번호 관리자 설치"를 선택한 후 안내에 따라 설치를 진행하면 됩니다.
설치가 완료되면 메뉴에 "구글 비밀번호 관리자"라는 새로운 항목이 생깁니다. 이를 클릭하면 저장된 로그인 정보를 확인할 수 있습니다. 바탕 화면에 생긴 새 아이콘을 클릭하여 접근하는 방법도 있습니다.
윈도우 PC에서는 C:\Users\사용자_이름\AppData\Local\Google\Chrome\User Data\Default\Login Data 경로에 있는 sqlite 파일에서 저장된 구글 로그인 정보를 찾을 수 있습니다.
이 파일은 전용 Sqlite 브라우저나 메모장으로 열 수 있습니다. 하지만 메모장을 사용할 경우, 일부 문자가 깨져서 보일 수 있습니다.
해당 파일에는 저장된 비밀번호와 관련된 웹사이트 주소, 사용자 이름(또는 이메일 주소), 암호화된 비밀번호 정보가 포함되어 있습니다.
구글 비밀번호 관리자는 얼마나 안전할까요?
구글은 세계에서 가장 큰 IT 기업 중 하나입니다. 구글 계정에 다단계 인증을 설정하여 사용하는 경우, 온라인에 저장하는 비밀번호와 계정 정보는 매우 안전하다고 할 수 있습니다.
2018년 이후, 구글에서는 큰 규모의 데이터 유출 사고는 없었습니다. 월스트리트저널의 보도에 따르면, API 버그로 인해 3년 이상 개인 데이터가 노출되었던 적은 있었지만, 여기에는 비밀번호 정보는 포함되지 않았습니다.
구글 비밀번호 관리자의 가장 큰 취약점은 PC에 있습니다. 공격자가 사용자의 계정에 접근하는 방법은 두 가지로 볼 수 있습니다.
첫 번째는 비밀번호 관리자 앱을 직접 여는 것입니다. 이렇게 하려면 공격자가 사용자의 컴퓨터에 물리적으로 접근해야 하며, 시스템 비밀번호를 입력해야 하기 때문에 공격을 저지할 가능성이 높습니다. 하지만 만약 시스템 비밀번호를 뚫게 된다면 모든 로그인 정보와 비밀번호를 암호화 없이 다운로드할 수 있습니다.
두 번째 잠재적인 문제는 데이터베이스 파일입니다.
계정을 해킹하려면 공격자는 세 가지 정보, 즉 특정 서비스에 계정이 존재한다는 사실, 해당 계정에 연결된 사용자 이름, 그리고 비밀번호를 알아야 합니다.
PC의 데이터베이스 파일에는 첫 번째 두 가지 요소가 암호화되지 않은 텍스트로 저장되어 있고, 비밀번호만 암호화되어 있습니다. 공격자가 PC에서 해당 파일을 복사해낸다면, 충분한 시간을 들여 암호화를 풀 수 있습니다. 사용자 이름 및 서비스와 연관된 비밀번호 목록은 온라인 시장에서 거래되기도 합니다. haveibeenpwned 웹사이트에서 자신의 정보가 유출되었는지 확인할 수 있습니다.
실제로 공격자가 시스템에 접근할 수 있다면 파일을 빼내는 것은 그리 어렵지 않습니다. USB 드라이브를 사용하거나 이메일을 통해 몇 초 만에 파일을 복사할 수 있습니다.
공격자는 악성 코드를 설치하여 파일을 탈취하려고 시도할 수도 있습니다.
전문 온라인 비밀번호 관리자가 구글 비밀번호 관리자보다 더 안전할까요?
온라인 비밀번호 관리 시장은 급성장하고 있습니다. 이들은 모든 비밀번호를 암호화된 저장소에 보관하고, 강력한 무작위 비밀번호를 생성하여 사용할 것을 권장합니다. 이러한 저장소는 일반적으로 마스터 비밀번호로 보호됩니다.
이러한 솔루션은 안전해 보일 수 있지만, 2022년 LastPass 데이터 침해 사건은 정교한 공격자가 비밀번호 저장소 및 암호화 키를 다운로드하여 모든 계정과 데이터에 쉽게 접근할 수 있음을 보여주었습니다. 완벽하게 안전한 방법은 사실상 없으며, 어떤 저장 방식을 선택하든 어느 정도 위험은 존재합니다.
안전한 비밀번호 관리를 위한 완벽한 솔루션은 없습니다
사용자 이름과 비밀번호는 범죄자들의 중요한 표적이므로 안전하게 보호하는 것이 중요합니다. 하지만 어떤 비밀번호 관리 시스템도 공격으로부터 완전히 안전할 수는 없습니다. 가능한 해결책 중 하나는 로그인 URL, 이메일 주소, 비밀 문구와 같은 여러 요소를 기반으로 사이트별 비밀번호를 생성하는 비상태 비밀번호 관리자를 사용하는 것입니다.