대다수 사용자가 여러 계정의 비밀번호를 관리하기 위해 클라우드 기반 비밀번호 관리자를 사용합니다. 이러한 서비스는 온라인 뱅킹과 신용카드 로그인 같은 민감한 정보를 암호화된 금고에 보관하므로 보안이 핵심입니다. ETH Zurich 응용 암호학 그룹은 이 점을 바탕으로 세 가지 인기 서비스의 보안성을 점검했습니다.
연구진은 Bitwarden, LastPass, Dashlane을 대상으로 서버가 침해되어 악의적으로 동작하는 경우를 가정해 실험을 수행했습니다. 해킹된 서버처럼 행동하는 환경을 구성한 뒤 정상적인 사용자 동작(로그인, 금고 열기, 비밀번호 보기, 동기화 등)을 공격 경로로 악용할 수 있음을 보여 주었습니다. 연구팀은 Bitwarden에서 12건, LastPass에서 7건, Dashlane에서 6건의 공격을 시연했으며, 공격 규모는 특정 사용자 금고를 겨냥하는 것부터 조직 내 모든 금고를 장악하는 것까지 다양했습니다.
연구자들은 문제의 심각성에 놀랐다고 밝혔고 일부는 코드 복잡성이 취약점을 넓혔다고 지적했습니다. 연구진은 공급자들에게 사전 통보하고 수정 기한(90 days)을 제시하며 책임 있는 공개 관행을 따랐습니다. 권고안으로는 신규 고객용 시스템 업데이트, 기존 고객을 위한 이전 선택권 제공, 보안에 대한 투명성 제시가 포함됩니다. 또한 사용자는 외부 감사를 받은 관리자와 기본으로 종단간 암호화가 활성화된 서비스를 선호해야 합니다.
연구진의 발표는 출처로 ETH Zurich를 밝히고 있으며, 팀은 이 연구가 업계 변화에 도움이 되기를 바란다고 말했습니다.
어려운 단어·표현
- 클라우드 기반 — 인터넷 서버 위에서 운영되는 시스템
- 금고 — 비밀번호 같은 정보를 안전히 보관하는 공간
- 응용 암호학 그룹 — 암호 기술을 연구하는 대학 연구팀
- 침해되다 — 허가 없이 시스템이나 데이터가 공격받다침해되어
- 동기화 — 여러 기기에 같은 정보를 맞추는 과정
- 공급자 — 서비스나 제품을 제공하는 회사나 조직공급자들에게
- 종단간 암호화 — 메시지가 출발지와 도착지 사이만 암호화되는 방식종단간 암호화가
팁: 글에서 강조된 단어에 마우스를 올리거나 포커스/탭하면, 읽거나 들으면서 바로 간단한 뜻을 볼 수 있습니다.
토론 질문
- 공급자가 사전 통보와 수정 기한을 받은 후에 실제로 어떤 조치를 해야 할까요? 예를 들어 어떤 단계가 필요할지 설명해 보세요.
- 종단간 암호화가 기본으로 활성화된 서비스를 쓰는 것이 사용자에게 주는 장점과 한계는 무엇일까요?
- 서버가 악의적으로 동작할 때 사용자가 할 수 있는 실용적인 예방 방법이나 대체 방안은 무엇이 있을까요?
