구글 크롬, 비밀번호 노출에 무방비 '사용자의 각별한 주의 필요'

2013. 8. 8. 14:51    작성자: ONE™

웹 브라우저에 저장된 모든 웹 사이트 비밀번호를 아주 간단한 방법으로 열람할 수 있다? 구글 크롬의 이런 비밀번호 관리 방식 때문에 인터넷이 들썩이고 있습니다.

미국의 더 버지(The Verge)는 웹 디자이너 엘리엇 캠버(Elliot Kember)를 인용해 아주 간단한 방법으로 크롬에 저장된 사용자의 웹 사이트 암호를 쉽게 볼 수 있어 개인정보유출에 대한 우려가 있다고 전했습니다. 크롬 주소창에 특정 주소(chrome://settings/passwords) 를 입력하면 그동안 사용자가 크롬을 쓰면서 입력한 웹 사이트 로그인 아이디와 비밀번호가 목록에 나타나는데, 이때 '표시' 버튼을 누르면 비밀번호가 가려지지 않고 플레인 텍스트(Plain Text)로 그대로 노출된다는 것입니다. (설정 → 고급 설정 표시 → 비밀번호 및 양식 → 저장된 비밀번호 관리에서도 확인할 수 있습니다.)

이처럼 크롬이 사용자의 로그인 정보를 여과 없이 노출하면서 외부의 해킹 공격을 당하거나, 사람들의 이용이 많은 공용 컴퓨터를 사용할 때 시용자의 개인정보가 외부에 유출될 위험이 따른다고 캠버는 설명했습니다.

더 버지는 구글에서 이런 사실을 사용자들에게 제대로 인지시키지 않았을 뿐만 아니라 크롬 제작팀의 안이한 위험 대처를 문제로 지적했습니다. 실제로 구글 크롬의 경우 약관에는 "귀하는 서비스 액세스에 사용하는 계정과 관련된 비밀번호의 보안을 유지할 책임이 귀하에게 있음을 인정하고 이에 동의합니다"라고 명시돼 있으며, 구글 크롬의 보안 책임을 담당하고 있는 저스틴 슈(Justin Schuh)는 "크롬의 보안이 철저하다는 그릇된 인식을 사용자에게 전달하지 않기 위해 이렇게 고안한 것" 이라며 어차피 "해커가 컴퓨터에 접근할 수 있다면 게임이 끝난 것(the game was lost)"이라고 견해를 밝혔습니다. 즉, 이번 문제는 크롬 개발팀의 실수가 아니라 의도를 가지고 디자인된 것이니만큼 보완 작업이 필요하지 않으며, 보안 위협에 대한 대비와 책무는 전적으로 사용자의 몫이라는 것입니다.

이에 웹의 창시자인 팀 버너스리(Tim” Berners-Lee)는 "어떻게 당신이 당신 누나의 비밀번호를 알 수 있는가?"*라며 구글에 실망감을 나타냈습니다.

한편, 애플 사파리와 마이크로소프트 인터넷 익스플로러, 모질라 파이어폭스 역시 크롬처럼 웹 사이트 로그인 정보를 저장하지만, 비밀번호를 확인하기 위해서는 마스터 암호를 입력해야 하는 등 최소한의 인증 장치가 적용되어 있습니다.(위 이미지) 지금 크롬 자체 기능으로 웹 사이트 비밀번호를 관리하고 계신 맥 사용자가 계시다면 자리를 비우거나 노트북을 분실했을 시 개인정보유출을 막기 위해 사용자 비밀번호를 반드시 설정해 두시길 바라며,  메뉴 → 시스템 환경설정 → 보안 및 개인정보 패널에서 "잠자기 또는 화면 보호기 시작 즉시 암호 요구" 기능을 활성화 해두실 것을 권장합니다.


* 해당 옵션을 설정한 다음 Control + Shift + 전원키(또는 추출키)를 누르면 화면이 즉시 꺼지며, 맥을 다시 사용하기 위해 비밀번호를 입력해야 합니다.



참조
The Verge - Google leaves your Chrome passwords unprotected to promote security
yoonjimannet - 크롬의 정신나간 비밀번호 보안 정책

관련 글
• 사파리, 크롬에서 구글 검색 결과를 공유하려면?
구글, 맥용 크롬 브라우저에 '앱 런처' 기능 추가하기 위해 물밑 작업 진행
• 구글 크롬, 애플의 '웹킷' 버리고 자체 개발 엔진 '블링크' 도입 확정. 10주 내 정식 버전 출시

    
  1. Blog Icon
    애독자

    헐... 이거 심각하네요.
    저도 해보니까 바로 보이네요.
    더 심각한 문제는 계획적으로 악용될 소지도 있겠는데요.
    어떤 사람의 패스워드를 알아내기 위해,
    크롬을 띄워놓고 접속을 유도하면.........
    근데, 제가 크롬 초기부터 썼었는데, 기억으로는
    크롬의 패스워드 문제는 처음부터 이렇게 취약했던것으로 알고 있어요.
    아니, 취약했다기 보다, 아예 문제의식 조차 없다는 느낌.
    크롬의 개인 보안 의식... 예나 지금이나 여전하네요.

  2. Blog Icon
    1234...

    윈도에서 크롬 쓰는 사람들 걱정해줄 하등의 이유는 없지만...
    맥에서 왜 크롬을 쓸까...의아스럽긴하네요.

    구글 서비스는 가급적 사용하지 않으려 합니다.
    공짜 뒤에 숨은 꿍꿍이가 신경쓰이기 시작했어요...

  3. Blog Icon
    와룡서생

    구글 서비스는 공짜는 아니죠.

    사람들이 자신의 개인정보를 팔도록 설계되어 있습니다.

    구글은 검색말고는 쓰지 않네요. 그것만으로도 너무 많은 개인정보를 주고 있으니까요.

    근데 맥에서 크롬 사용자가 의외로 많군요..;;;

    메모리 너무 많이 먹어서 크롬 않쓴지 오래인데 많이들 쓰시나 보네요.

  4. Blog Icon
    와룡서생

    저랑 좀 다른 의견이시군요.

    2008년 램4GB 맥북프로에서는 사파리가 더 빠르고 메모리를 적게 먹던데요.

    크롬 지워버린 것도 저사양 맥에서 크롬이 메모리 먹는게 도저히 감당이 않되더라구요...

  5. Blog Icon
    애독자

    2012년1월 8GB 맥북입니다만,
    일단 같은 홈페이지에 대해 방금 실험해보면,
    사파리에 탭 5개 띄우고, 크롭 탭 5개 띄워 봤는데,
    메모리는 사파리가 좀 더 먹습니다.
    사파리나 크롬은 모두 같은 애플의 렌더링 엔진을 사용하기 때문에,
    (구글CEO 에릭 슈밋이 애플의 사외이사를 했을때, 잡스가 지원해줬습니다)
    기본적으로 브라우져 코어는 같으나, 메모리 관리 및 운용방식은
    다를 수 있기 때문에 순간 메모리 사용량 등은 차이가 있을 수 있으나
    기본적으로 이 둘간에는 큰 차이는 없을 겁니다.
    어쨋든 제가 하고픈 얘기는,
    사파리는 빠른데 왜 무거운 크롬을 쓰느냐는 분 보면 좀 웃겨서...

  6. Blog Icon
    와룡서생

    애독자님/

    윗글이 지워졌군요... 암튼..

    탭 5개 정도는 않되구요... 저사양 맥에서 탭 한 20개 이상 정도 띄워놓고 테스트 해보면 확 차이가 납니다.

    사파리는 버티지만 크롬이라면 맥이 거의 뻗을 지경이 됩니다.

    사람들이 사파리와 크롬을 놓고 하는 얘기들이 이렇다는 거구요.

    이런게 웃길것까지는 없죠.

  7. 저도 처음 크롬 쓸때부터 알고 있던 더였어요
    하지만 빨라가서 크롬을 안쓸수가 없었죠!?

    하지만 맥북으로 넘어온지금 굳이 크롬을 사용할 필요도 없는거 같아요 ㅎㅎ

  8. Blog Icon
    김유성

    이런 !!

    비밀번호 노출에 심각한 문제가 될 소지가 있는 사항이군요.
    사용약관에 "요래 저래 하면 암호 나오니 저장하든 말든 알아서 해라"라고 반드시 표기해야 할 것 같은데,
    구글의 답변이 "사용자들은 응당 알고 써야한다"라는 수준이라니.
    궁색하고 억지스러운 답변이군요.

    일반인 (설정창을 열어볼 기회가 별로 없는 사람)이 이걸 알고 쓰는 사람이 얼마나 될까요?

  9. 아이맥-맥북-아이패드간 동기화 기능이 편해서 구글 크롬을 사용했는데... 확인해 보니 역시나 패스워드가 다 보이네요. ㅜㅜ

    오늘부터 사파리로 넘어갑니다... ^^

  10. Blog Icon
    종이

    아이클라우드가 더 편할 듯 합니다. 각 디바이스에서 열려있는 페이지도 확인이 가능하니까요. (iOS 탭 제외)

  11. Blog Icon
    149

    아, 불안하네요;; 크롬은 당장 지워야겠습니다.

  12. Blog Icon
    Nel

    그냥 암호저장 기능을 안 쓰면 됩니다. 정 필요하면 크롬 자체기능 말고 다른 앱을 사용하면 되고요.

    그건 그렇고 크롬팀의 대응은 좀 실망스럽네요.

  13. Blog Icon
    SKY

    저도 암호저장 기능 비활성화 했습니다. 살짝 당황스럽네요...ㅡ,.ㅡ

  14. Blog Icon
    종이

    크롬의 문제점은 비단 이것 뿐만이 아니라 크롬에서 사용하는 모든 정보가 그대로 구글로 넘어간다는 것이죠.

    크롬 생각보다 빠르지 않고 플러그인 설치 하지 않으면 파폭이나 사파리나 크롬이나 거기서 거기입니다. 특화된 기능이 아니라면 사파리와 파폭이면 충분하고 대부분의 기능은 파폭에도 다 있으니까요.

    크롬은 테스트용.

  15. Blog Icon
    sleeping

    이럴수가..크롬....

  16. Blog Icon
    사나이

    맥에서 사파리 쓰고 싶은데 탭 이동 단축키(cmd+1,2,3..)이 다르고 기타 다른 익숙해진 단축키가 달라서 크롬밖에 못 쓰겠어요 ㅜ.ㅜ

  17. Blog Icon
    귀로날다

    무방비나, 취약하다거나 라고 얘기할 수 있나요?
    버너스 리가 얘기한 조건이라면 동생은 누나 패스워드를 알아낼 모든 단서를 다 갖고 있는 겁니다.
    특별히 구글 크롬이 누나 패스워드를 알아내기에 조금 더 편할 뿐이지요.

    어느 누가 누나든, 친지든, 한 계정으로 사적인 컴퓨팅 환경을 공유한단 말인지요.
    그 정도로 관리하면서 어떻게 구글의 보안 의식에 대해 얘기할 수 있을지...

    제 생각으론 과민한 반응이네요.

  18. Blog Icon
    종이

    말씀하신 그 정도로 관리하는 사람들이 대부분입니다.
    또한 보안은 강조해도 지나치지 않는 것이지 과민할 수 없는 부분이고요.

    전 국민의 주민번호가 새어나갔다고 한 들 내 번호가 악의적으로 사용될 확률이 얼마나 된다고 라는 것고 다를 바 없죠.

  19. Blog Icon
    귀로날다

    제가 얘기한 것은 팀 버너스 리의 멘션을 두고 한 말이었고요.

    보안은 강조해도 지나치지 않다는 생각은 동의할 수 없네요. 보안이 적용되어야 할 영역에는 강조하는 것이 맞는 말씀인데 보안이 필요없는 영역도 있거든요.

    웹브라우저에 패스워드를 캐싱하듯 저장하는 것에 보안이 완벽할 것이라고 믿는 거 자체가 저로서는 이해가 되지 않고요. 만약 패스워드 보안이 주요 feature이고 그걸로 그 브라우저를 구매 혹은 사용한다면 큰 문제가 맞지만 부가적으로 편의를 위해 만들어놓은 기능에 이렇게 반응하다는 것이 민감하다는 것입니다.

    보안 기능도 그 나름대로 요구 조건과 SLA라는 것이 있는데, 불필요한 영역까지 보안을 들먹이면서 먹고 사는 이상한 사람들 때문에 한 마디 해봤습니다. 철통같이 보안을 지키려면 누구나 접근 가능한 컴에다 개인 정보 절대 넣지 말아야죠. 별도의 보안 회선을 쓰던가요. 이게 모두에게 적용되어야 하고 강조되어야 할 환경은 아니잖아요.

    그리고 저도 제 주민번호 새어가는 건 중요한 문제라고 생각하는 사람 중에 한명입니다. 구글 서비스 사용할 때 이것이 내 프라이버시를 어느 정도 캡쳐해 가겠구나 생각해보면서 사용하는 유저이고요.

  20. 저도 주로 크롬을 쓰고 있습니다.
    이유는 Mac Book Air, Android Phone, iPhone, Windows PC, iPad를 쓰고 있는데, 그 모든 곳에서 편하게 동기화되는 것에는 일단 크롬이 최고인 것 같거든요.

    크롬에서 사용하는 동기화의 편리함을 제공해줄 수 있는 브라우저가 있다면 당장 갈아탈덴데, 아직 그런 정도의 것은 없어보여서요. -.-
    (크롬 전에는 파이어폭스 쓰고 있었는데, 한번 크롬에 발을 들이니 빠져나가기가 어렵네요 흐~)

  21. Blog Icon
    Vermond

    모든 비밀번호 저장 프로그램은 결국 위험성을 내포하고 있습니다
    크롬이 대놓고 저렇게 공개한건 좀 심하지만, 어차피 암호 저장 프로그램에 암호 저장하면 털렸을때 빠져나가는건 똑같아요. 결국 나중에 암호를 입력하기 위해서는 원래의 암호를 가져와야 될 때가 존재하고, 그 시기를 노리면 유출되는건 마찬가지입니다

    보안을 위해서라면 암호 저장 유틸리티나 기능을 사용하지 마시고 암호식등을 활용해서 '외우기 쉽지만 복잡한' 암호를 만든 뒤에 외워 쓰시기 바랍니다

  22. Blog Icon
    종이

    이번 크롬의 문제는 해커들이 쉽게 접근할 수 있는 보안문제를 말하는 게 아니라, 원한다면 일반인들도 쉽게 볼 수 있다는 문제인데 다들 보안의 기술적인 이야기에 촛점을 맞추는 것같네요.

  23. Blog Icon
    슝이

    좋은글 감사..

  24. Blog Icon
    토토땅

    내 컴퓨터를 이미 다른 사람이 사용할 수 있는 상태에서 보안을 따지는 건 우습네요.