비밀번호 관리자

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 역사
- 2.1. 초기 역사
- 2.2. 대중화
3. 종류
4. 기능
5. 장점 및 위험성
- 5.1. 장점
- 5.2. 위험성
6. 웹사이트 차단 문제
참조

1. 개요

비밀번호 관리자는 사용자가 여러 계정의 비밀번호를 안전하게 저장하고 관리하도록 돕는 소프트웨어다. 최초의 암호 관리자는 1997년 브루스 슈나이어가 개발한 Password Safe이며, 브라우저 내장 기능, 로컬 기반, 클라우드 기반, 기업용, 하드웨어 기반 등 다양한 종류가 있다. 주요 기능으로는 비밀번호 저장 및 관리, 자동 입력 및 로그인, 비밀번호 생성 등이 있으며, 편리함과 보안성을 높여주지만, 마스터 비밀번호 유출, 소프트웨어 취약점, 악성코드 감염 등의 위험성도 존재한다. 일부 웹사이트는 보안상의 이유로 비밀번호 관리자 사용을 차단하려 했으나, 현재는 대부분의 브라우저에서 차단 시도가 무시되고 있다.

더 읽어볼만한 페이지

암호 관리자 - 데누보
데누보는 Denuvo Software Solutions GmbH에서 개발한 DRM 및 안티 치트 기술로, 게임 불법 복제 방지를 목적으로 하지만 성능 저하 논란이 있으며 Irdeto에 인수되어 PC 게임 외 닌텐도 스위치 에뮬레이션 방지 기술도 제공한다.
암호 관리자 - 1Password
1Password는 안전한 비밀번호 저장 및 관리 소프트웨어로, 자동 완성, 강력한 암호 생성, 2단계 인증, 다양한 플랫폼 지원 등의 기능을 제공하며, 구독 모델 도입과 로컬 저장 기능 제거로 논란이 있었지만 지속적으로 성장하고 있다.
아이덴티티 관리 - 접근 제어
접근 제어는 컴퓨터 보안에서 주체의 대상 접근을 허가하거나 거부하는 행위 및 메커니즘으로, 정보의 기밀성, 무결성, 가용성을 보장하며 다양한 모델을 통해 구현되고 물리적/네트워크 환경에서 출입 통제 및 시스템 사용 제어를 포함하며 인증, 인가, 감사 단계를 거쳐 법규 및 표준 준수가 요구된다.
아이덴티티 관리 - 아바타
아바타는 힌두교 용어에서 유래하여 신의 화신을 뜻하며, 온라인 환경에서 사용자를 나타내는 가상 신체를 의미하고, 게임, 소셜 미디어, 메타버스 등에서 사용자의 개성을 표현하고 소통하는 핵심 수단으로 활용되며 AR/VR 기술 발전과 함께 더욱 현실감 있는 사용자 경험을 제공한다.

비밀번호 관리자

2. 역사

비밀번호 관리자 소프트웨어의 역사는 1990년대 후반으로 거슬러 올라간다. 최초의 비밀번호 관리자 중 하나는 브루스 슈나이어가 개발한 패스워드 세이프였다.

일반적으로 서비스나 계정마다 다른 비밀번호를 설정해야 하며, 이 비밀번호는 길고 복잡하며 추측하기 어려워야 한다.^[17] 그러나 사람이 기억할 수 있는 비밀번호의 수와 길이에는 한계가 있다. 실제로 10억 건이 넘는 비밀번호 중 700만 건이 "123456"과 같이 취약한 비밀번호였다.^[18] 2018년 조사에서도 가장 많이 사용되는 비밀번호는 "123456", 두 번째는 "password"였다.^[19]

이처럼 각 서비스마다 복잡하고 안전한 비밀번호를 설정하고 기억해야 하는 문제를 해결하기 위해 비밀번호 관리자가 등장했다. 비밀번호 관리자는 일반적으로 "마스터 비밀번호"를 설정하여 다른 ID와 비밀번호를 안전하게 보관하는 소프트웨어 또는 서비스이다.

2. 1. 초기 역사

브루스 슈나이어가 개발한 최초의 암호 관리자 소프트웨어인 패스워드 세이프(Password Safe)는 1997년 9월 5일에 무료 유틸리티로 출시되었다.^[4] 마이크로소프트 윈도우 95용으로 설계된 패스워드 세이프는 슈나이어의 블로우피시 알고리즘을 사용하여 비밀번호와 기타 민감한 데이터를 암호화했다. 패스워드 세이프는 무료 유틸리티로 출시되었지만, 미국 암호화 기술 수출 제한으로 인해 초기에 미국과 캐나다 시민 및 영주권자만 다운로드가 허용되었다.^[4]

2. 2. 대중화

구글 크롬이 가장 많이 사용되는 브라우저가 되면서, 구글 크롬에 내장된 구글 비밀번호 관리자는 2023년 12월 기준 가장 많이 사용되는 비밀번호 관리자가 되었다.^[4]

3. 종류

비밀번호 관리자는 주로 비밀번호를 저장하는 방식과 플랫폼에 따라 여러 종류로 나뉜다.

저장 방식
로컬 저장 방식: 비밀번호를 사용자 컴퓨터에 저장한다. Password Safe 등이 있다.
네트워크(클라우드) 저장 방식: 비밀번호를 암호화하여 네트워크 서버에 저장한다. Bitwarden, LastPass, RoboForm 등이 있다.
플랫폼
웹 브라우저: Internet Explorer, 크롬, 파이어폭스 등 웹 브라우저에 내장된 비밀번호 기억 기능이 있다. 기본적으로 로컬에 저장되지만, 설정에 따라 네트워크 서버에도 보관할 수 있다.

웹 브라우저의 자동 완성 기능도 비밀번호 관리자와 유사하지만, HTML 설정에 따라 사용이 제한될 수 있어 완전하지 않다.

3. 1. 브라우저 기반

브루스 슈나이어가 1997년에 무료 유틸리티로 출시한 패스워드 세이프(Password Safe)는 초기 암호 관리자 소프트웨어이다.^[1] 2023년 12월 기준, 구글 크롬에 내장된 구글 비밀번호 관리자는 가장 많이 사용되는 비밀번호 관리자가 되었다.^[1]

크롬, 사파리, 파이어폭스, 엣지 등 웹 브라우저에 직접 내장된 브라우저 기반 비밀번호 관리자는, 브라우저가 사용되는 기기에서 기본적인 비밀번호 관리를 편리하게 제공한다.^[2] 하지만 기기 간의 안전한 동기화나 강력한 암호화와 같은 기능이 부족할 수 있다.^[2]

Internet Explorer, 크롬, 파이어폭스 등 웹 브라우저의 비밀번호 기억 기능은 기본적으로 로컬에 저장되지만, 설정에 따라 네트워크상의 서버에도 보관된다.^[3]

웹 브라우저의 자동 완성 기능도 비밀번호 관리자에 가깝지만, HTML 설정에 따라 사용할 수 없는 경우도 있어 불완전하다.^[4]

3. 2. 로컬 기반

사용자의 장치에 설치되는 독립 실행형 애플리케이션이다. 암호가 로컬에 저장되므로 강력한 보안을 제공하지만, 접근은 해당 특정 장치로 제한될 수 있다. 인기 있는 오픈 소스 옵션으로는 KeePassXC, KeePass, Password Safe가 있다.

비밀번호 관리자는 관리 대상 애플리케이션에 따라 크게 두 가지로 분류되는데, 비밀번호를 "로컬에 보관하는 것"과 "네트워크상의 서버에 보관하는 것"이 있으며, 양쪽을 병용하는 경우도 있다.

로컬에 비밀번호를 보관하는 소프트웨어
* Password Safe
* 인터넷 익스플로러, 구글 크롬, 모질라 파이어폭스 등 웹 브라우저의 비밀번호 기억 기능 - 기본적으로 로컬에 저장되지만, 설정에 따라 네트워크상의 서버에도 보관된다.

3. 3. 클라우드 기반

클라우드 기반 비밀번호 관리자는 원격 서버에 암호화된 형태로 비밀번호를 저장하여, 인터넷에 연결된 지원 기기에서 접근할 수 있게 해준다. 일반적으로 자동 동기화, 안전한 공유, 강력한 암호화와 같은 기능을 제공한다. 예를 들어 1Password, Bitwarden, Dashlane 등이 있다.^[1]

비밀번호 관리자는 관리 대상 애플리케이션에 따라 크게 두 가지로 분류된다. 주로 비밀번호를 "로컬에 보관하는 것"과 "네트워크상의 서버에 보관하는 것"이 있으며, 양쪽을 병용하는 경우도 있다. 비밀번호를 네트워크상의 서버에 보관하는 경우에는 일반적으로 로컬에서 비밀번호를 암호화한 후, 암호화된 데이터가 서버로 전송된다.^[1]

3. 4. 기업용

기업용으로 설계된 이러한 솔루션은 조직 내에서 접근 자격 증명을 관리하는 데 사용된다. 기존 디렉터리 서비스 및 접근 제어 시스템과 통합되며, 역할 기반 권한 및 특권 접근 관리와 같은 고급 기능을 제공하는 경우가 많다.

3. 5. 하드웨어 기반

유비키(Yubikey), 온리키(OnlyKey) 등과 같이 USB 키 형태의 물리적 장치는 비밀번호 관리에 추가적인 보안 계층을 제공한다. 일부는 보안 토큰처럼 계정/데이터베이스 접근을 위한 보안 토큰 역할을 한다. 유비키(Yubikey)와 온리키(OnlyKey) 등이 이에 해당한다. 다른 장치들은 온리키(OnlyKey)처럼 비밀번호를 위한 오프라인 저장 공간을 제공하기도 한다.

4. 기능

일반적으로 비밀번호는 비밀번호 목록 공격을 방지하기 위해 서비스나 계정마다 다른 것을 설정하도록 요구되며^[17], 무차별 대입 공격이나 사전 공격 등을 방지하기 위해 가능한 한 길고(예: 12자 이상), 복잡하며(대문자, 소문자, 숫자 혼합 등), 추측하기 어려운 비밀번호가 권장된다.

그러나 사람이 기억할 수 있는 비밀번호의 길이와 수에는 한계가 있다. 실제로 10억 건이 넘는 비밀번호 중 700만 건이 "123456"이라는 취약한 비밀번호였으며^[18], 2018년 조사에서도 가장 많이 사용되는 비밀번호는 "123456", 두 번째로 많이 사용되는 비밀번호는 "password"인 것으로 밝혀졌다.^[19] 이처럼 복잡하고 안전한 비밀번호를 다수 기억하는 것은 어렵다.

비밀번호 관리자는 이러한 문제를 해결하기 위한 도구이다. 각 서비스마다 복잡하고 안전한 비밀번호를 설정해야 하지만, 사람이 그 모든 것을 기억하기 어렵기 때문이다. 비밀번호 관리자는 일반적으로 "마스터 비밀번호"를 설정하고, 이 마스터 비밀번호로 다른 ID와 비밀번호를 안전하게 보관한다. ID와 비밀번호 외에 기타 기밀 정보를 보관하거나, 안전한 비밀번호를 생성하는 기능을 제공하기도 한다.

4. 1. 비밀번호 저장 및 관리

비밀번호 관리자는 "마스터 비밀번호"를 설정하여 ID, 비밀번호 및 기타 기밀 정보를 안전하게 보관하는 소프트웨어 또는 서비스이다. 안전한 비밀번호를 생성하는 기능도 제공한다.

비밀번호 관리자의 주요 기능은 다음과 같다.

ID와 비밀번호를 기억하고 해당 애플리케이션과 연동한다.
암호화 및 접근 제한을 통해 비밀번호를 안전하게 보관한다.
기억된 비밀번호를 이용해 자동으로 입력하고 로그인을 지원한다.
영문자, 숫자, 기호를 조합하고 자릿수를 지정하여 무작위 비밀번호를 생성한다.

비밀번호 관리자는 비밀번호 보관 위치에 따라 "로컬"과 "네트워크상의 서버" 두 가지로 분류된다. 양쪽을 모두 사용하는 경우도 있다. 네트워크 서버에 보관할 때는 로컬에서 비밀번호를 암호화한 후 서버로 전송하는 것이 일반적이다.
로컬 비밀번호 보관 소프트웨어:

Password Safe
Internet Explorer, 크롬(Google Chrome), 파이어폭스(Mozilla Firefox) 등 웹 브라우저의 비밀번호 기억 기능 (기본 저장 위치는 로컬이나, 설정에 따라 네트워크 서버에도 보관 가능)

네트워크 서버 비밀번호 보관 서비스:

Bitwarden
LastPass
RoboForm
Internet Explorer, 크롬(Google Chrome), Firefox 등 웹 브라우저의 비밀번호 기억 기능

웹 브라우저의 자동 완성 기능도 비밀번호 관리자와 유사하게 작동하나, HTML 설정에 따라 사용이 제한될 수 있어 기능이 완전하지 않다.

4. 2. 자동 입력 및 로그인

기억된 비밀번호를 사용하여 웹사이트나 애플리케이션에 자동으로 로그인할 수 있도록 지원한다.^[1]

4. 3. 비밀번호 생성

일부 비밀번호 관리자는 비밀번호 생성기를 포함할 수 있다. 그러나 2021년 카스퍼스키 비밀번호 관리자와 같이 비밀번호 생성 방법에 결함이 있어 예측 가능한 비밀번호가 생성되는 경우도 있었다.^[6]^[7]

일반적으로 비밀번호는 비밀번호 목록 공격을 방지하기 위해 서비스나 계정마다 다르게 설정해야 한다.^[17] 또한 무차별 대입 공격이나 사전 공격 등을 방지하기 위해 가능한 길고(예: 12자 이상), 복잡하며(대문자, 소문자, 숫자 혼합 등), 추측하기 어려운 비밀번호를 사용해야 한다.

비밀번호 관리자는 안전한 비밀번호 생성을 지원하는데, 영문자, 숫자, 기호의 조합, 자릿수를 지정하여 무작위 비밀번호를 생성할 수 있다.

5. 장점 및 위험성

비밀번호 관리자는 사용자가 복잡하고 다양한 비밀번호를 쉽게 관리하고 사용할 수 있도록 돕는 도구이지만, 몇 가지 위험성도 함께 가지고 있다.
장점:

개별 비밀번호를 기억할 필요 없이, 강력한 비밀번호를 설정하여 보안을 강화할 수 있다.
비밀번호 자동 입력 기능을 통해 키로거 등의 위협을 줄이고, URL 비교 방식으로 피싱 사기를 예방할 수 있다.
클라우드 기반 관리자를 이용하면 어디서든 비밀번호를 사용할 수 있다.

위험성:

마스터 비밀번호가 유출되면 관리자에 저장된 모든 비밀번호가 위험해진다.
관리자 데이터가 손실되거나 마스터 비밀번호를 잊어버리면, 개별 애플리케이션에 접근할 수 없게 된다.
제3자가 사용자의 컴퓨터를 조작하여 비밀번호를 훔쳐볼 위험이 있다.
특히 클라우드 기반 관리자의 경우, 관리자를 신뢰할 수 있는지 신중하게 판단해야 한다.^[5]

5. 1. 장점

비밀번호 관리자를 사용하면 다음과 같은 장점이 있다.

사용자가 복잡한 비밀번호를 일일이 기억할 필요가 없어 편리하다.
안전한 비밀번호를 사용하고, 주기적으로 변경하는 습관을 들이기 쉽다.
사용자로부터 비밀번호가 유출될 위험이 줄어든다.
비밀번호 입력의 번거로움을 덜 수 있다.
피싱 공격으로부터 보호하는 데 도움이 된다.
키로거와 같은 악성코드로부터 비밀번호를 보호할 수 있다.^[5]
클라우드 기반 비밀번호 관리자는 여러 기기에서 비밀번호를 동기화하여 사용할 수 있다.

5. 2. 위험성

마스터 비밀번호가 유출되면 비밀번호 관리자에 저장된 모든 비밀번호가 위험에 노출될 수 있다. 이는 단일 실패 지점으로 작용하여 보안에 심각한 문제를 야기한다.^[5]

비밀번호 관리자 소프트웨어 자체의 취약점이나 데이터 유출 사고도 발생할 수 있다. 예를 들어, 2022년 라스트패스 보안 사고에서는 대량의 사용자 자격 증명이 유출될 위험에 처했다.^[5]

사용자의 장치가 키로거, 클립보드 스니퍼, 라쿤 등의 악성코드에 감염되면 비밀번호 관리자의 보호 기능이 무력화될 수 있다. 키로거는 마스터 비밀번호를 훔쳐 저장된 모든 정보에 접근할 수 있게 하고, 클립보드 스니퍼는 복사된 정보를 가로챌 수 있다.^[5]

클라우드 기반 비밀번호 관리자를 사용하는 경우, 서비스 제공 업체의 보안 정책 및 신뢰성을 고려해야 한다. 서비스 제공 업체가 해킹당하거나 보안 정책이 미흡하면 사용자 정보가 유출될 수 있다.

비밀번호 생성기의 난수 생성 방식에 결함이 있으면 예측 가능한 비밀번호가 생성될 수 있다. 2021년 카스퍼스키 비밀번호 관리자에서 이러한 문제가 발생한 사례가 있다.^[6]^[7]

6. 웹사이트 차단 문제

일부 웹사이트들은 자동화된 공격, 피싱, 악성 프로그램으로부터 보호하거나 호환성 문제 등을 이유로 비밀번호 관리자의 사용을 차단하려는 시도를 해왔다.^[8]^[9]^[10] IBM의 트러스티어 클라이언트 보안 소프트웨어는 비밀번호 관리자를 차단하는 옵션을 제공하기도 한다.^[11]^[12]

이러한 차단은 사용자의 보안을 약화시킨다는 정보 보안 전문가들의 비판을 받아왔다.^[10]^[12] 일반적인 차단 구현 방식은 관련 비밀번호 웹 폼에 `autocomplete='off'` 속성을 설정하는 것이다. 하지만 이 옵션은 현재 암호화된 사이트에서는 대부분의 브라우저에서 무시되고 있다.^[13] 예를 들어 파이어폭스 38,^[14] 크롬 34,^[15] 및 7.0.2 버전 이후의 사파리에서 무시된다.^[16]

참조

_[1] 서적 Personal cybersecurity : how to avoid and recover from cybercrime https://books.google[...] Apress
_[2] 웹사이트 Password Managers - Information Security Office - Computing Services https://www.cmu.edu/[...] 2024-07-07
_[3] 웹사이트 What is a Password Manager? - Definition from Techopedia http://www.techopedi[...] 2022-12-14
_[4] 웹사이트 Counterpane Systems Brings the Security of Blowfish to a Password Database http://www.counterpa[...] 2023-06-24
_[5] 웹사이트 Are Password Managers Safe to Use in 2024? https://cybernews.co[...] 2022-07-13
_[6] 웹사이트 Kaspersky Password Manager's random password generator was about as random as your wall clock https://www.theregis[...] 2021-07-06
_[7] 웹사이트 Kaspersky Password Manager Generated Passwords That Could Quickly Be Brute-Forced https://www.security[...] 2021-07-07
_[8] 웹사이트 British Gas deliberately breaks password managers and security experts are appalled https://thenextweb.c[...] 2015-07-16
_[9] 뉴스 British Gas bows to criticism over blocking password managers http://www.scmagazin[...] 2015-07-15
_[10] 뉴스 Websites, Please Stop Blocking Password Managers. It's 2015 https://www.wired.co[...] 2015-07-26
_[11] 웹사이트 Password Manager https://www.trusteer[...]
_[12] 뉴스 The "Cobra Effect" that is disabling paste on password fields http://www.troyhunt.[...] 2014-05-15
_[13] 웹사이트 Password Managers: Attacks and Defenses https://www.usenix.o[...]
_[14] 웹사이트 Firefox on windows 8.1 is autofilling a password field when autocomplete is off. https://support.mozi[...]
_[15] 뉴스 Chrome makes new password grab in version 34 https://www.theregis[...] 2014-04-09
_[16] 웹사이트 Re: 7.0.2: Autocomplete="off" still busted https://discussions.[...]
_[17] 웹사이트 パスワードリスト攻撃とは？被害の原因と対策方法 https://cybersecurit[...] 2020-07-21
_[18] 웹사이트 10億件超の資格情報を分析して明らかになった最も利用されているパスワードは「123456」 https://gigazine.net[...] 2020-07-21
_[19] 웹사이트 最悪のパスワード2018年版、トップは安定の「123456」 https://gigazine.net[...] 2020-07-21

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com