웹 브라우저에 저장된 모든 웹 사이트 비밀번호를 아주 간단한 방법으로 열람할 수 있다? 구글 크롬의 이런 비밀번호 관리 방식 때문에 인터넷이 들썩이고 있습니다.
미국의 더 버지(The Verge)는 웹 디자이너 엘리엇 캠버(Elliot Kember)를 인용해 아주 간단한 방법으로 크롬에 저장된 사용자의 웹 사이트 암호를 쉽게 볼 수 있어 개인정보유출에 대한 우려가 있다고 전했습니다. 크롬 주소창에 특정 주소(chrome://settings/passwords) 를 입력하면 그동안 사용자가 크롬을 쓰면서 입력한 웹 사이트 로그인 아이디와 비밀번호가 목록에 나타나는데, 이때 '표시' 버튼을 누르면 비밀번호가 가려지지 않고 플레인 텍스트(Plain Text)로 그대로 노출된다는 것입니다. (설정 → 고급 설정 표시 → 비밀번호 및 양식 → 저장된 비밀번호 관리에서도 확인할 수 있습니다.)
이처럼 크롬이 사용자의 로그인 정보를 여과 없이 노출하면서 외부의 해킹 공격을 당하거나, 사람들의 이용이 많은 공용 컴퓨터를 사용할 때 시용자의 개인정보가 외부에 유출될 위험이 따른다고 캠버는 설명했습니다.
더 버지는 구글에서 이런 사실을 사용자들에게 제대로 인지시키지 않았을 뿐만 아니라 크롬 제작팀의 안이한 위험 대처를 문제로 지적했습니다. 실제로 구글 크롬의 경우 약관에는 "귀하는 서비스 액세스에 사용하는 계정과 관련된 비밀번호의 보안을 유지할 책임이 귀하에게 있음을 인정하고 이에 동의합니다"라고 명시돼 있으며, 구글 크롬의 보안 책임을 담당하고 있는 저스틴 슈(Justin Schuh)는 "크롬의 보안이 철저하다는 그릇된 인식을 사용자에게 전달하지 않기 위해 이렇게 고안한 것" 이라며 어차피 "해커가 컴퓨터에 접근할 수 있다면 게임이 끝난 것(the game was lost)"이라고 견해를 밝혔습니다. 즉, 이번 문제는 크롬 개발팀의 실수가 아니라 의도를 가지고 디자인된 것이니만큼 보완 작업이 필요하지 않으며, 보안 위협에 대한 대비와 책무는 전적으로 사용자의 몫이라는 것입니다.
이에 웹의 창시자인 팀 버너스리(Tim” Berners-Lee)는 "어떻게 당신이 당신 누나의 비밀번호를 알 수 있는가?"*라며 구글에 실망감을 나타냈습니다.
한편, 애플 사파리와 마이크로소프트 인터넷 익스플로러, 모질라 파이어폭스 역시 크롬처럼 웹 사이트 로그인 정보를 저장하지만, 비밀번호를 확인하기 위해서는 마스터 암호를 입력해야 하는 등 최소한의 인증 장치가 적용되어 있습니다.(위 이미지) 지금 크롬 자체 기능으로 웹 사이트 비밀번호를 관리하고 계신 맥 사용자가 계시다면 자리를 비우거나 노트북을 분실했을 시 개인정보유출을 막기 위해 사용자 비밀번호를 반드시 설정해 두시길 바라며, 메뉴 → 시스템 환경설정 → 보안 및 개인정보 패널에서 "잠자기 또는 화면 보호기 시작 즉시 암호 요구" 기능을 활성화 해두실 것을 권장합니다.
* 해당 옵션을 설정한 다음 Control + Shift + 전원키(또는 추출키)를 누르면 화면이 즉시 꺼지며, 맥을 다시 사용하기 위해 비밀번호를 입력해야 합니다.
참조
• The Verge - Google leaves your Chrome passwords unprotected to promote security
• yoonjimannet - 크롬의 정신나간 비밀번호 보안 정책
관련 글
• 사파리, 크롬에서 구글 검색 결과를 공유하려면?
• 구글, 맥용 크롬 브라우저에 '앱 런처' 기능 추가하기 위해 물밑 작업 진행
• 구글 크롬, 애플의 '웹킷' 버리고 자체 개발 엔진 '블링크' 도입 확정. 10주 내 정식 버전 출시
