"구글 크롬에 저장된 모든 비밀번호 삭제해야"…보안 전문가 경고

사용자 편의를 위해 웹 브라우저에 저장해온 비밀번호가 오히려 사이버 보안의 가장 큰 약점으로 지목됐다.

특히 구글 크롬에 저장된 비밀번호는 즉시 삭제하고 좀 더 안전한 별도 암호관리 앱으로 이전해야 한다는 권고가 나왔다.

미국 경제전문지 포브스는 보안 전문 칼럼니스트 잭 도프먼의 기고를 인용해 "이제는 크롬을 비롯한 브라우저 기반의 비밀번호 저장 기능을 중단할 때"라고 28일(이하 현지시각) 보도했다.

도프먼은 "해커들은 시스템을 뚫는 것이 아니라 로그인 정보를 이용한다"며 "대부분의 사용자가 동일한 아이디와 비밀번호를 여러 계정에 쓰기 때문에 이 정보가 한번 유출되면 연쇄적으로 피해를 입을 수 있다"고 지적했다.

포브스에 따르면 최근 구글과 마이크로소프트(MS)는 이용자들에게 '패스키(passkey)' 기반 보안 체계로 전환할 것을 권고하고 있다. 특히 MS는 수억명의 사용자가 이용하는 자사 인증 앱 'MS 인증기(Authenticator)'에서 다음달 1일부터 기존 비밀번호 저장 기능을 삭제하겠다고 밝혔다. 사용자가 원하지 않아도 저장된 모든 비밀번호는 자동으로 제거된다는 것이다.

이런 흐름 속에서 구글 역시 자사 브라우저에 저장된 비밀번호를 삭제할 수 있도록 ‘모든 데이터 삭제’ 기능을 새롭게 도입했다. 이는 사용자가 외부 암호관리 프로그램으로 갈아탈 수 있도록 유도하는 조치로 풀이된다.


도프먼은 "크롬에 저장된 비밀번호는 쉽고 편리하지만 보안 측면에서는 최악의 선택"이라고 강조했다. 특히 구글의 비밀번호 관리자는 ‘제로 지식 암호화(zero-knowledge encryption)’를 지원하지 않기 때문에 이론상 구글이 사용자의 비밀번호에 접근할 수 있다는 점이 지적됐다. 제로 지식 암호화는 사용자 외에는 누구도 비밀번호에 접근할 수 없도록 하는 기술이다.

보안 전문 매체 테크레이더는 “구글의 비밀번호 관리자는 자바스크립트 공격 등 웹 기반 악성코드에 취약하다”고 평가했으며, 안드로이드폴리스와 PC매거진 등도 “전용 암호관리 앱보다 보안 수준이 떨어진다”고 밝혔다.


전문가들은 구글이나 크롬이 아닌 독립된 전용 암호관리 앱을 사용할 것을 권고하고 있다. 대표적인 앱으로는 애플 ‘비밀번호(Passwords)’, ‘1패스워드(1Password)’, ‘라스트패스(LastPass)’ 등이 꼽힌다. 이들 앱은 대부분 사용자 인증 기능, 제로 지식 암호화, 기기 간 동기화, 여행모드, 비상 연락처 공유 등 고급 기능을 지원한다.

도프먼은 “브라우저가 해킹당할 가능성이 기기 전체보다 훨씬 높다”며 “확장 프로그램, 악성 자바스크립트, 브라우저 자체의 취약점 등 다양한 경로로 비밀번호 유출 사고가 발생할 수 있다”고 경고했다.

그는 “VPN(가상사설망)처럼 암호관리 앱도 반드시 상위권 유료 제품을 선택해야 한다”며 “무료 앱은 위험하다”고 덧붙였다.


김현철 글로벌이코노믹 기자 rock@g-enews.com