암호 관리 프로그램은 강력하고 독창적인 암호를 어디에서든 편리하게 사용할 수 있도록 도와줍니다. 이것은 암호 사용에 있어서 매우 중요한 장점 중 하나이지만, 다른 중요한 이점도 제공합니다. 바로 암호 관리자가 사용자를 악의적인 웹사이트로부터 보호하여 암호 ‘피싱’ 시도를 막아준다는 것입니다.
피싱이란 무엇이며, 어떻게 작동하는가?
피싱은 사용자를 속여 암호나 다른 개인 정보를 사기꾼에게 넘겨주도록 설계된 일종의 사기 행위입니다.
예를 들어, 은행에서 보낸 것처럼 위장한 이메일을 받았다고 가정해 보겠습니다. 이 이메일에는 계정이 위험에 처했을 수 있으니, 조치를 취하려면 특정 링크를 클릭하라는 내용이 담겨 있습니다. 이메일 속 링크를 클릭하면, 은행의 진짜 웹사이트와 거의 똑같이 보이는 가짜 웹사이트로 이동하게 됩니다. 계정을 보호하려는 마음에 서둘러 비밀번호와 신용카드 정보 등의 개인 정보를 입력하게 되죠. 바로 이런 상황이 피싱 공격에 당한 것입니다. 이제 공격자는 여러분의 은행 계좌 사용자 이름과 암호는 물론, 제공한 다른 개인 정보까지 모두 손에 넣게 됩니다. 기억하세요, 그 웹사이트는 은행의 실제 웹사이트가 아니라 사기꾼이 만든 가짜 웹사이트였습니다.
보안 전문가들은 이러한 종류의 이메일에서 링크를 클릭하지 말라고 강조합니다. 대신, 은행 웹사이트 주소를 직접 입력하여 로그인하는 것이 안전합니다. 또한, 은행 직원이라고 주장하며 전화가 올 경우, 전화를 끊고 은행 고객 서비스 번호로 직접 전화하여 해당 전화가 실제 은행에서 걸려온 것인지 확인하는 것이 좋습니다.
피싱 사이트에 접속하게 되는 경로는 다양합니다. 예를 들어, 온라인 쇼핑 중 링크를 클릭했는데, 그 링크가 Amazon.com과 같은 합법적인 쇼핑몰로 연결되는 것처럼 보일 수도 있습니다. 또는 이메일을 확인하려고 링크를 클릭했을 때, Gmail 계정 로그인 화면이 나타날 수도 있습니다.
URL을 주의 깊게 확인하세요
피싱 사이트를 구별하는 한 가지 방법은 웹페이지의 주소, 즉 URL을 주의 깊게 살펴보는 것입니다. 예를 들어, Chase 은행을 이용한다면, 여러분은 주소창에 “Chase.com”이 정확히 표시되어 있는지 확인해야 합니다. 하지만 피싱 사이트는 매우 교묘하게 위장할 수 있습니다. 예를 들어, “secure.chase.com.example.com/onlinebanking/login”과 같은 도메인을 사용하여 사용자를 속일 수 있습니다.
URL 구조를 이해하고 있다면, 이 특정 URL이 실제로는 “chase.com”이 아닌 “example.com”에서 호스팅되고 있다는 것을 알 수 있을 것입니다.
마찬가지로, 일부 피싱 웹사이트는 실제 문자와 매우 유사해 보이는 다른 문자를 사용하여 URL을 실제처럼 보이게 만듭니다. 많은 사람들이 URL을 전혀 확인하지 않으며, 설령 확인한다고 해도 “chase.com”과 같은 익숙한 단어만 찾을 가능성이 높습니다. 모든 사람이 URL 주소의 미묘한 차이를 파악할 수 있는 것은 아닙니다.
암호 관리자가 사용자를 보호하는 방법
암호 관리자를 사용하면 한층 더 강화된 보안을 누릴 수 있습니다. 이는 암호 관리자가 저장된 자격 증명을 자동으로 입력해주는 기능 덕분입니다. 1Password, LastPass, Dashlane, Bitwarden 또는 웹 브라우저에 내장된 암호 저장 기능 등 다양한 암호 관리자를 사용할 수 있습니다.
Chase.com이나 Amazon.com과 같은 웹사이트의 로그인 정보를 암호 관리자에 저장해두면, 암호 관리자는 사용자가 해당 웹사이트에 접속할 때 자동으로 로그인 정보를 입력하도록 제안합니다. 그러나 다른 웹사이트에 접속하는 경우에는 암호 관리자가 로그인 정보를 입력하라는 제안을 하지 않습니다. 암호 관리자는 사용자가 현재 접속한 웹사이트가 저장된 정보와 일치하는지 확인하기 때문입니다. 다시 말해, 암호 관리자는 위장된 URL에 속지 않습니다.
이 보호 기능은 눈에 띄는 경고 메시지를 표시하는 것은 아니지만, 잠시 주의를 기울이면 금방 알아차릴 수 있습니다. 암호 관리자가 특정 웹사이트에서 로그인을 제안하지 않는다면, 현재 접속한 웹사이트가 원래 생각했던 웹사이트가 아니라는 것을 깨닫고 위험을 감지할 수 있게 됩니다.
로그인 과정의 심리적 안정
암호 관리자는 단순히 웹 탐색 중에 자격 증명을 더 빠르게 입력할 수 있도록 도와주는 것 이상의 기능을 제공합니다. 암호 관리자는 작업을 수행하는 동안 심리적인 안정감을 제공합니다.
이메일에 로그인할 때 사용자 이름과 암호를 입력하기 전에 도메인을 다시 확인할 필요가 없습니다. 암호 관리자가 자격 증명을 자동으로 채우도록 제안한다면, 이미 도메인이 데이터베이스에 저장된 도메인과 일치한다는 사실을 확인한 것입니다.
스마트폰에서도 동일하게 작동
물론, iPhone, iPad 또는 Android 스마트폰과 같은 모바일 기기에서 암호 관리자를 사용할 때도 동일한 보호 기능을 누릴 수 있습니다. 암호 관리자를 사용하여 자격 증명을 입력하면 모바일 웹 환경에서도 피싱 공격으로부터 안전하게 보호됩니다.