비밀번호 관리자란? 비밀번호 관리자 프로그램 작동방식, 기능 총정리

테크리포트를 신뢰할 수 있는 이유

1999년에 설립되어 긴 역사를 자랑하는 테크리포트는 최신 하드웨어 및 소프트웨어를 비롯해 블록체인과 관련된 최신 뉴스와 제품 리뷰를 제공합니다. 독자들의 신뢰를 최우선 가치로 여기며 편집의 독립성을 유지해 편향되지 않은 고품질의 콘텐츠를 작성하고 있습니다.

이번 가이드에서는 비밀번호 관리자 작동 방식, 사용법은 물론, 효용성에 대해 설명한다.

인터넷을 활발히 사용하는 현대인들은 한 사람이 수백 개의 계정을 보유하기도 한다. 계정이 많은 만큼 모든 계정의 비밀번호를 일일이 관리하기란 거의 불가능에 가깝다. 그래서 같은 비밀번호를 계속 사용하거나 직접 메모하여 저장해 두기도 한다.

비밀번호 관리자를 사용하면 수많은 비밀번호를 효율적으로 관리할 수 있다. 게다가 강력한 비밀번호를 자동으로 생성하고 자동완성 기능으로 보안과 사용 편의성을 높일 수 있다.

지금부터 비밀번호 관리자에 대해 더욱 자세히 알아보자.

비밀번호 관리자란? 비밀번호 관리자의 역할은?

비밀번호 관리자로 복잡한 비밀번호를 생성하고 비밀번호를 안전하게 보관할 수 있다. 비밀번호 관리자의 역할은 여기서 끝이 아니다.

비밀번호 관리자는 왜 사용할까?

비밀번호 관리자를 사용하면 동일한 비밀번호를 반복해서 사용하거나 수기로 비밀번호를 적어둘 필요 없이 통합 워크스페이스에서 한 번에 비밀번호를 관리할 수 있다. 따라서 인터넷 사용이 매우 간편해진다.

또한, 컴퓨터나 모바일에 비밀번호를 저장했을 때 노출될 수 있는 피싱, 무단 액세스, 멀웨어 관련 위험을 방지할 수 있다.

비밀번호 관리자가 영지식 생태계를 이용해 비밀번호를 암호화하기 때문이다. 영지식 생태계에서는 사용자만 개인 정보를 해독하고 접근할 수 있다.

아래에서 비밀번호 관리자의 기능에 대해 더 자세히 설명했다.

1. 비밀번호 생성기

비밀번호 관리자를 사용할 때 가장 편리한 점은 모든 비밀번호를 다 기억할 필요가 없다는 것이다.

따라서 보안에 유리한 더욱 복잡한 비밀번호를 생성할 수 있게 된다. 대부분의 비밀번호 관리자는 비밀번호 생성 기능이 있다.

영어 대문자, 소문자, 기호, 숫자 등을 조합하여 강력한 비밀번호를 생성한다. 예를 들어, 노드패스(NordPass)는 60개 글자를 조합해 비밀번호를 자동 생성한다.

비밀번호가 길고 무작위로 생성되었을 수록 해킹하기 어렵다.

더 좋은 점은 사용자가 굳이 비밀번호를 기억할 필요가 없이 비밀번호 관리자에 모든 비밀번호가 저장된다는 것이다.

2. 다중 인증

대부분의 비밀번호 관리자는 다중 인증(MFA) 기능을 제공한다. 다중 인증이란 추가 보안 수단을 요구하여 비밀번호를 안전하게 보호하는 기능이다.

다중 인증 수단은 SMS 코드, 인증 앱, 하드웨어 키 등이 될 수 있다. 각 수단이 동일하게 안전하진 않지만 없는 것보단 무조건 더 안전하다.

해커가 비밀번호 관리자 계정에 설정한 비밀번호를 알아내더라도 다중 인증을 설정했다면 비밀번호 관리자 계정에 접속할 수 없다.

가장 좋은 다중 인증 수단은 피싱 공격에 영향을 받지 않는 물리적 토큰으로, 유비키나 타이탄 같은 보안키가 이에 해당한다.

3. 자동 완성 기능

비밀번호 관리자를 사용하면 웹사이트에 로그인 정보를 자동으로 입력할 수 있다. 따라서 서비스나 플랫폼에 로그인하기 매우 간편해진다.

원패스워드 자동 완성 기능으로 예를 들면, 비밀번호를 저장한 웹사이트에 접속했을 때 확장자 드롭다운 목록에서 해당 웹사이트의 로그인 정보를 볼 수 있다.

입력하고 싶은 계정 데이터를 선택하면 비밀번호 관리자에서 웹사이트에 정보를 입력한다.

4. 다양한 플랫폼 지원

비밀번호 관리자는 일반적으로 윈도우, 맥, 리눅스, 아이폰, 안드로이드 기기를 지원한다. 크롬, 파이어폭스, 오페라를 지원하는 솔루션도 있다.

비밀번호 관리자 모바일 앱으로도 핵심 기능을 충분히 이용할 수 있다.

비밀번호 관리자는 어떻게 작동할까?

훌륭한 비밀번호 관리자는 비밀번호 저장 외에도 전반적인 개인 정보 보안과 편리함을 향상하는 다양한 기능을 제공한다.

아래에 비밀번호 관리자 작동 방식에 대해 자세히 설명했다.

1. 영지식 생태계

영지식 생태계에서는 사용자 외에는 개발자는 물론 그 누구도 비밀번호 관리자에 저장된 데이터를 확인하거나 해독할 수 없다.

비밀번호, 파일, 개인 정보 등 모든 데이터는 로컬에 암호화된다.

클라우드 동기화를 위해 데이터가 기기에서 이동하는 중에도 암호화는 기본적으로 유지된다. 데이터는 계정 정보를 확인할 때 해독 키가 저장된 기기에서만 읽을 수 있다.

노드패스, 원패스워드, 대시레인 등 모든 유명 비밀번호 관리자는 영지식 생태계에 기반한다.

2. 비밀번호 공유

채팅방에서 비밀번호를 복사 붙여넣기 하는 대신 공유 링크를 생성하여 비밀번호를 공유할 수 있다.

만료일, 접근 파라미터, 링크 확인 횟수 등도 설정 가능하다.

이를 통해 개인 정보를 더욱 안전하게 보호한다.

3. 다크웹 모니터링 및 보안 알림

원패스워드, 노드패스 등 일부 비밀번호 관리자는 다크웹을 적극적으로 스캔하여 데이터 유출을 탐지한다.

데이터 유출을 감지하면 사용자에게 알림을 전송하여 비밀번호나 이메일 주소를 바꾸도록 권장한다.

해당 기능은 사용자가 따로 설정하지 않다고 백그라운드에서 실행된다.

비밀번호가 얼마나 강력한지, 같은 비밀번호를 너무 반복해서 사용하지는 않는지도 함께 점검한다.

관련 문제를 발견하면 문제 상황과 해결 방법이 담긴 보안 알림을 전송하다.

4. 싱글사인온

싱글사인온(SSO)이란 기존 로그인 정보로 비밀번호 관리자에 접속할 수 있는 기능이다.

기존 로그인 정보로 여러 비즈니스 툴에 접근할 수도 있다. 예들 들어 하나의 로그인 정보로 슬랙, 노드패스, 먼데이에 로그인할 수 있다는 것이다.

해커가 SSO 계정에을 알아내면 해당 로그인 정보에 연결된 모든 계정에 접근할 수 있다.

5. 이중 인증

이중 인증(2FA)이란 SMS, 이메일 코드 등 추가 인증 수단으로 비밀번호 관리자를 보호하는 기능이다.

모든 비밀번호 관리자에 이중 인증 기능이 있지는 않다. 노드패스는 인증 앱, 보안 키, 백업 코드 세 가지 수단으로 이중 인증 기능을 지원한다.

원패스워드는 인증 앱과 보안 키를 지원한다. 그러나 시크릿 키라는 기능이 이중 인증과 동일한 기능을 제공한다.

이중 인증을 사용하면 무단 액세스를 방지할 수 있다. 이메일과 비밀번호만으로 계정에 접속할 수 없기 때문이다. 이중 인증 코드나 보안 토큰이 꼭 필요하다.

이미 비밀번호 관리자에 연결되었거나 연결한 적이 있는 기기나 브라우저에서는 사용할 수 없다.

즉, 비밀번호 관리자의 기본 로그인 정보를 알고 있는 상태에서 사용자의 핸드폰을 훔쳤다면 계정에 무리 없이 접속할 수 있다.

하지만 연결 이력이 없는 기기에서 접속을 시도한다면 이중 인증이 작동한다.

6. 모든 기기에서 클라우드 동기화

온라인 비밀번호 관리자는 어디서든 쉽게 계정에 접속할 수 있도록 사용자의 비밀번호 볼트를 모든 기기에 동기화한다.

대부분 비밀번호 관리자 앱 설치 시 자동으로 해당 기능이 활성화된다. 예를 들어 노드패스를 데스크톱, 노트북, 모바일 기기에 설치했다면 기기 한 대에만 정보를 입력해도 다른 두 기기에 실시간으로 접속할 수 있다는 것이다.

노드패스는 XChaCha20 암호화 메커니즘을 통해 동기화된 데이터를 외부 공격으로부터 안전하게 보호한다.

비밀번호 관리자 유형

각 유형의 장단점, 사용 사례는 모두 다르다. 아래에서 세 가지 유형에 대해 자세히 설명한다.

1. 오프라인 비밀번호 관리자

클라우드 기반의 온라인 비밀번호 관리자와 달리, 오프라인 비밀번호 관리자는 비밀번호 및 기타 데이터를 기기에 저장하며, 인터넷 연결을 요구하지 않는다.

기술적으로는 오프라인 비밀번호 관리자가 클라우드 기반 비밀번호 관리자보다 더욱 안전하다. 사용자가 데이터 플로우를 관리할 수 있기 때문이다.

즉, 사용자와 비밀번호 관리자 사이에 중간자가 없다.

대표적인 오프라인 비밀번호 관리자는 키패스XC, 패스, 앤패스이며, 앤패스가 가장 유명하다.

오프라인 비밀번호 관리자는 온라인 비밀번호 관리자보다 사용이 불편하다는 단점이 있다. 기기에 정보를 동기화하기 어렵고 앱 업데이트도 수동으로 해야 한다.

오래된 버전의 비밀번호 관리자를 사용하면 보안 취약성을 해결할 수 없어 위험해 질 수 있다.

2. 온라인 비밀번호 관리자

대부분의 사용자들이 원패스워드, 노드패스, 라스트패스 등 클라우드 기반 비밀번호 관리자에 익숙할 것이다.

일반적으로 영지식 환경으로 운영되기 때문에 개발자를 포함한 누구도 사용자의 비밀번호에 접근하거나 해독할 수 없다.

사용자만이 비밀번호 볼트에 대한 접근권한이 있으며 해독할 수 있다. 대부분의 비밀번호 관리자는 암호화되지 않은 형태의 마스터 비밀번호가 절대 서버에 접근할 수 없게 한다.

하지만 아무리 사용자 데이터를 안전하게 보호한다고 해도 클라우드를 사용하기 때문에 오프라인 비밀번호 관리자보다는 보안이 취약하다.

따라서 보안에 예민하다면 오프라인 비밀번호를 사용하는 것이 더 좋다.

편리함이 중요하다면 약간의 보안 취약성은 감수하더라도 온라인 비밀번호 관리자가 더 적합하다.

3. 스테이트리스 비밀번호 관리자

스테이트리스 또는 토큰 기반 비밀번호 관리자는 어느 곳에도 사용자의 비밀번호를 저장하지 않는다. 온라인에도 오프라인에도 비밀번호 데이터베이스가 존재하지 않는다.

스테이트리스 비밀번호 관리자로 비밀번호를 생성하고 불러오기 위해서는 아래 세 가지가 필요하다.

어떤 계정에 최초로 비밀번호를 만들면 웹사이트 URL, 사용자 이름, 마스터 비밀번호를 입력한다.

스테이트리스 비밀번호 관리자는 이 로그인 정보로 고유하고 무작위처럼 보이는 비밀번호를 생성한다. 사용자는 계정에 이 비밀번호를 사용하며 비밀번호는 어디에도 저장되지 않는다.

생성된 모든 비밀번호가 마스터 비밀번호, 웹사이트 URL, 사용자 이름에서 파생된 해시이기 때문이다. 동일한 수학 공식을 적용하면 항상 같은 비밀번호가 도출된다.

일부 스테이트리스 비밀번호 관리자는 비밀번호 생성 과정에서 이중 인증 등 토큰 기반 인증 수단을 지원한다. 이는 유비키, 구글 타이탄 등 보안 키를 뜻한다.

하지만 큰 문제가 하나 있다.

스테이트리스 비밀번호 관리자로 생성된 비밀번호에는 공식이 있다는 것이다.

따라서 스테이트리스 비밀번호 관리자로 생성된 비밀번호를 하나라도 안다면 해커가 역으로 마스터 비밀번호를 추적할 수 있다.

복잡한 마스터 비밀번호를 사용하면 이러한 문제를 대부분 해결할 수 있다. 그러나 기술적으로 마스터 비밀번호를 해킹할 방법은 해당 비밀번호에서 파생된 비밀번호 수만큼 많다.

오프라인이나 온라인 비밀번호 관리자를 사용하면 이러한 문제를 겪지 않아도 된다. 두 유형 모두 완전히 무작위인 비밀번호를 생성하기 때문이다.

좋은 비밀번호 관리자를 고르는 방법은?

훌륭한 비밀번호 관리자를 고르고 싶다면 아래 요소를 잘 살펴봐야 한다.

테크리포트에서 직접 여러 비밀번호 관리자의 성능 및 기능을 테스트했다. 각 비밀번호 관리자를 쉽게 비교할 수 있도록 주요 기능, 가격 등을 아래 표에 정리했다.

노드패스는 XChaCha20 암호화를 사용한다. XChaCha20 암호화는 AES-256보다 덜 리소스 집약적이며 보안 마진이 더 높다. 현재 대부분의 비밀번호 관리자는 AES-256을 사용한다.

원패스워드도 시크릿 키 암호화 기능을 제공하는 훌륭한 비밀번호 관리자다. 키퍼는 비밀번호를 잊었을 때 사용할 수 있는 긴급 액세스 기능을 제공한다. 로보폼은 표에서 다룬 비밀번호 관리자 중 유일하게 무료 플랜을 제공한다.

더욱 다양한 비밀번호 관리자에 대해 알아보고 싶다면 테크리포트에서 직접 선정한 비밀번호 관리자 추천 목록을 확인해 보자.

비밀번호 관리자 설치 방법

원패스워드를 예시로 비밀번호 관리자 설치 방법을 알아보자.

1. 무료 체험 옵션 선택하기

원패스워드 웹사이트에서 ‘1Password 무료 체험하기’를 클릭하여 무료 체험 옵션을 선택한다.

2. 계정 만들기

이름, 이메일 주소 등 필요한 정보를 입력하고 ‘다음’을 눌러 원패스워드 계정을 만든다.

원패스워드에서 이메일로 전송한 코드를 다음에 표시되는 창에 입력한다.

원패스워드 마스터 비밀번호를 생성한 다음 ‘다음’을 클릭한다. 마스터 비밀번호를 잊어버리면 계정에 접속할 수 없다.

3. 결제 방법 선택하기

‘결제 방법 추가’를 선택하여 신용카드 정보를 입력한다. 혹은 ‘건너뛰기’를 선택한다.

4. 시크릿키 저장하기

이제 원패스워드에서 로컬에 시크릿키를 생성한다. 시크릿키가 원패스워드의 암호화 프로토콜에서 가장 중요하다, ‘PDF’ 저장을 선택하여 안전한 곳에 파일을 저장한다.

PDF 파일에는 응급 키트 사용 방법, 시크릿키 복사본, 다른 비밀번호 필드가 포함되어 있다.

시크릿키로 마스터 비밀번호를 재설정할 수 없다. 시크릿키는 추가 보안용으로만 사용된다.

5. 앱 설치하기

계정에 접속하고 ‘앱 다운로드’를 눌러 데스크톱 앱과 모바일 앱을 설치한다.

원하는 운영 체제를 선택한다.

앱을 설치했으면 이메일, 마스터 비밀번호, 시크릿키로 계정에 로그인한다.

6. 새로운 항목 만들기

앱을 열어 오른쪽 상단의 ‘새로운 항목’을 선택한다. 그후 ‘로그인’을 누른다. 이것이 원패스워드 로그인 정보 항목 중 가장 흔한 유형이다.

‘문서’, ‘API 정보’ 등의 다른 항목을 입력할 수도 있다.

1단계에서 항목 이름을 변경하고 2단계에서 사용자 이름을 입력하고 3단계에서는 비밀번호를 입력한다. 비밀번호 생성기를 사용하려면 ‘새로운 비밀번호 만들기’를 선택한다.

비밀번호 생성기가 뜨면 비밀번호 길이와 구성을 커스터마이징 할 수 있다. 원하는 비밀번호를 만들었다면 ‘사용하기’를 누른다.

항목을 저장하려면 꼭 ‘저장하기’를 눌러야 한다.

7. 비밀번호 공유하기

오른쪽 상단의 ‘공유’를 누르면 표시되는 ‘공유 링크 생성’ 팝업창에서 링크를 복사하면 비밀번호를 공유할 수 있다.

공유하려는 사람에게 링크를 전달하기만 하면 된다.

‘1회 열람’을 선택하면 링크를 공유받은 상대방이 한 번 열람하자마자 링크가 만료된다.

이러한 커스터마이징 기능으로 무단 액세스를 방지할 수 있다. 노드패스도 이러한 기능을 제공한다.

비밀번호 관리자를 사용해야 할까?

비밀번호 관리자 데이터베이스에 비밀번호를 저장하면 사이버 범죄를 예방할 수 있다.

비밀번호 관리자를 사용하지 않으면 비밀번호를 재사용하게 되고, 쉬운 비밀번호를 사용하게 되며 노출되기 쉬운 곳에 비밀번호를 저장하게 된다.

노드패스 같은 비밀번호 관리자를 사용하면 간편하게 비밀번호를 보호할 수 있으며 최첨단 암호화 기능과 영지식 원칙으로 온라인 활동이 안전해진다.

FAQs

Jiyoung Kim 암호화폐 콘텐츠 라이터

Jiyoung Kim 암호화폐 콘텐츠 라이터

본 작가는 기술과 암호화폐 관련 지식을 바탕으로 독자들에게 IT 및 코인 업계의 유용하고 정확한 정보를 전합니다. 경제학 전공 후 금융 회사 및 암호화폐 거래소 P2B에서 근무했으며 암호화폐 붐 이후 암호화폐의 매력에 빠져 관련 글을 써오고 있습니다. 

이제 수 년간 쌓은 지식으로 잘 벼려진 기사를 작성하여 TechReport 독자들에게 다양한 기술 및 암호화폐 관련 정보를 전하고자 합니다. 또한 더 다양한 분야에 대한 정확한 정보를 전달하기 위해 지속적으로 공부하는 습관을 지니고 있습니다. 작가가 전할 유용한 정보를 함께 탐색해 봅시다.

이 저자의 다른 포스트 보기 - Jiyoung Kim