인터넷 브라우저에 암호를 저장하면 안되는 3가지 이유

인테넷 사용시 쉽게 사이트에 접속하기 위해서 브라우저의 자동 암호 저장 기능을 사용하시는 분들이 많을 겁니다. 하지만 이런 습관은 위험할 수 있는데 그 이유는 다음과 같습니다.

 

저장된 암호, 해커들에게 노출 가능성

Auto fill 이라고도 자동 채우기 암호는 웹 페이지는 해커들의 스크립트에 노출될 수 있습니다. 체코 보안 연구원은 암호 관리자에서 자동 채우기 기능을 없애고 일부 브라우저 암호 관리자 사용을 완전히 중지해야 한다고 주장합니다.

아바스트의 침투 테스터인 마렉 토스는 최근 블로그 포스트에서 "대부분의 암호 관리자 기능은 저장된 암호의 보안을 약화시켜야지만 기본적으로 자동 채우기 기능을 사용할 수 있다"고 말했습니다.

자동 채우기는 암호 관리자에게 직접 메시지를 표시하지 않고 웹 사이트의 로그인 페이지에 있는 사용자 이름과 암호 필드를 저장된 암호를 표시해서 채우는 기능입니다. 

그런 다음 로그인 페이지에 있는 스크립트로 필드에 붙여넣은 문자를 "읽을" 수 있습니다(예: 페이지 자체와 상관 없는 온라인 광고에 사전 설정되어 있을 수 있음). 이러한 스크립트는 사용자 이름과 암호를 복사하여 어디서든 보낼 수 있습니다. 물론, 이런 스크립트는 로그인할 때 필드를 입력할 때 사용자 이름과 암호를 읽을 수도 있지만, 적어도 언제 로그인 하는지는 사용자가 제어할 수 있습니다. 

 

자동 입력의 보안성

자동 입력은 항상 해당 필드를 채우려고 시도합니다. 2017년 연구자 3명이 발견한 것처럼 악성 스크립트는 사용자가 모르는 사이에 볼 수 없는, 보이지 않는 로그인 필드를 만들어 자격 증명을 캡처할 수 있습니다.

Toth는 Chrome, Firefox, Edge, Internet Explorer, Opera 및 Vivaldi를 포함한 대부분의 주요 웹 브라우저가 기본적으로 사용자 이름과 암호를 자동으로 채워지는 것을 발견했으며, 독립 실행형 암호 관리자 LastPass, Dashlane 및 Sticky Password도 마찬가지였습니다. 

토스는 사파리 브라우저와 브레이브 브라우저는 암호를 자동으로 입력하지 않았으며 1Password, 로보폼, 비트워든 암호 관리자도 입력하지 않았다고 말했습니다. 또 다른 암호 관리자 Keeper는 사용자 권한으로 사이트별로 암호를 자동으로 채웁니다.

Dashlane 최고 기술 책임자 Frédéric Rivain은 "기본적으로 자동 채우기를 활성화함으로써 사용자는 암호 관리자의 가치를 더 빨리 인식할 수 있습니다."라고 말했습니다. "이것은 궁극적으로 비밀번호 관리자를 계속 사용할 수 있는 기회를 증가시켜 보안성을 더욱 높여줍니다."

리바인은 "대쉬레인이 비밀번호와 연결된 특정 웹사이트에서만 사용자 정보를 제공하기 때문에 오토필은 또한 피싱 방지 보호 기능을 제공한다"고 덧붙였습니다. "유일한 취약점은 공격자가 로그인 중인 웹 사이트를 수정했을 때이며, 이 경우 자동 채우기를 사용했는지 여부에 관계없이 암호를 도용할 수 있습니다."

Dan DeMichelle LastPass 제품 관리 담당 부사장은 "우리는 편리한 로그인 환경을 제공하면서 사용자를 보호하기 위해 오토필 흐름을 개선하기 위한 방법을 지속적으로 검토하고 있다"고 말했습니다. "사용자는 로그인 정보를 도용하려는 잠재적 시도를 방지하기 위해 사이트를 방문하고 신뢰할 수 있는 링크만 클릭하는 것이 좋습니다."

DeMichele은 "사용자가 자격 증명 채우기를 제어하려는 경우 이 옵션은 확장 기본 설정 설정으로 사용할 수 있으며 비즈니스 사용자의 경우 정책으로 사용할 수 있습니다."라고 덧붙였습니다. "사용자에게 안전한 서비스를 제공하는 것이 우리의 최우선 과제입니다."

아래에는 Dashlane, LastPass 및 가능한 브라우저에서 자동 채우기를 비활성화하는 방법이 나와 있습니다. 온라인 데모를 통해 토스가 무슨 말을 하는지 알 수 있습니다. 이 페이지의 로그인 필드에 가짜 사용자 이름과 암호를 입력하고 브라우저 또는 암호 관리자가 자격 증명을 저장하도록 합니다.

https://websecurity.dev/password-security/password

그런 다음 동일한 브라우저에서 이 페이지로 이동합니다. 이 작업을 수행하려면 페이지의 한 지점을 클릭하거나 마우스를 움직이거나 "통보 허용" 상자를 클릭해야 할 수 있습니다.

https://websecurity.dev/password-password/autofill/

브라우저 또는 암호 관리자가 자동으로 암호를 입력하면 입력한 사용자 이름과 암호가 페이지에 표시됩니다. 웹 사이트에 표시된 사용자 이름과 암호는 암호 관리자가 암호를 자동으로 채울 수 있는 위험을 보여줍니다. 이러한 자격 증명을 볼 수 있을 뿐만 아니라 웹 페이지에 포함된 악성 스크립트도 볼 수 있기 때문에 보안 위험이 큽니다. 

최신 웹 사이트는 타사 추적 스크립트, 내장된 프레임 및 동적 광고로 가득 차 있으며, 이러한 요소 중 어느 하나라도 사용자의 사용자 이름과 암호를 도용할 수 있습니다. 브라우저와 암호 관리자가 암호를 자동으로 채우는 것을 반대하는 여러 연구자들의 오래된 블로그 게시물을 발견할 수 있었고, 다음은 앞서 언급한 2017년 연구와 관련된 데모로, 브라우저가 자동으로 채워지는지 여부를 테스트한 결과물입니다.

https://senglehardt.com/demo/no_boundaries/loginmanager/index.html

결과 : 다음과 같습니다.

테스트에서 살펴본것 같이 자동으로 비밀번호를 저장하는 것은 위험할 수 있습니다. 

 

자동 채우기를 사용하지 않도록 설정하는 방법

자동 채우기를 사용하지 않도록 설정하는 방법입니다. 우선, 비밀번호를 저장하기 위해 브라우저를 사용하는 것, 또는 최소한 소셜 미디어, 이메일과 같은 민감한 비밀번호와 은행 및 쇼핑 사이트를 포함한 신용카드 또는 금융 거래와 관련된 모든 것을 사용하지 않는 것이 좋습니다. 웹 브라우저에서 저장된 암호를 다른 방법으로 훔치는 것은 해커분들에게는 너무 쉽습니다.

Chrome, Opera, Vivaldi를 포함한 많은 크롬 기반 브라우저에서 자동 채우기를 비활성화할 수도 없습니다. Brave는 예외입니다. 왜냐하면 그것은 처음부터 자동 채우기를 하지 않기 때문입니다. 그리고 Edge는 특별한 Microsoft 전용 설정을 가지고 있습니다.

 

파이어 폭스에 Autofilling을 해제하는 방법

1. 새 탭 열기
2. 페이지 우측 상단을 기어 아이콘을 클릭
3. 아래로 스크롤 하여 클릭 더 많은 설정을 관리
4. 클릭하여 프라이버시 및 보안 왼쪽 내비게이션 바 선택
5. 아래로 스크롤 하여 Logins deselect "Autofill 로그인과 암호" 설정