못 믿을 비번관리 SW.. 무심코 사용땐 계정정보가 통째로

MS 무료배포 '키퍼 11.3버전'
치명적 플러그인 취약점 발견
웹사이트 공격으로 비번 도용
사전대입식 자동화 공격 눈길

마이크로소프트(MS)가 제공 중인 비밀번호 관리 프로그램 '키퍼(Keeper)'.

최근 지문·홍채·얼굴 등을 활용한 생체인증이 대중화되고 있지만, 여전히 대다수 사람이 인터넷 환경에서 숫자와 문자를 기반으로 한 전통적 비밀번호 체계를 사용하고 있다. 그러나 가입한 사이트가 넘치고 각 서비스마다 비밀번호 설정 요건도 달라 많은 사용자가 '비밀번호 관리 프로그램'을 사용하고 있는 가운데 해킹 한 번에 모든 계정정보를 유출 당할 수 있어 주의가 요구된다.

18일 구글 프로젝트 제로에 따르면 마이크로소프트(MS)가 윈도 운영체제(OS)에 서드파티 프로그램 형태로 무료 배포 중인 비밀번호 관리 프로그램 '키퍼(Keeper)' 11.3 버전에서 심각한 보안 취약점이 발견됐다.

프로젝트 제로는 구글이 '제로데이 공격(취약점 발견 전 공격)'을 막기 위해 운영하는 해커 팀이다.

타비스 오르먼디 구글 프로젝트 제로 연구원은 크로미엄 블로그와 자신의 트위터를 통해 "키퍼에서 해커가 간단한 웹사이트 원격 공격만으로도 사용자의 모든 비밀번호를 도용할 수 있는 치명적인 플러그인 취약점을 발견했다"며 "최근 배포 중인 윈도10 일부 버전에는 이 프로그램이 기본 내장 설치돼 2주 가까이 배포됐다"고 밝혔다.

이 프로그램은 MS 스토어뿐 아니라 크롬·파이어폭스 등 기타 웹스토어에서도 다운로드 가능하며 한국어 버전도 제공되고 있다. 구글이 공개적으로 이번 취약점을 지적하자 키퍼 개발진은 하루 만에 즉시 11.4 패치 버전을 지난 16일 배포했다.

사파리 사용자는 수동으로 새로운 버전을 내려받아야 한다.

비밀번호 관리 프로그램은 다양한 사이트 및 서비스의 계정을 간편하게 관리하고 자동 로그인 기능까지 수행하는 등 편리하지만 무심코 사용했다가 큰 보안 위협에 노출될 수 있는 것. 실제 지난 9월 국내 이스트소프트의 비밀번호 관리 프로그램 알패스 또한 약 13만명 사용자의 개인정보가 유출됐다.

이 개인정보에는 사용자가 가입한 웹사이트 명단·아이디·비밀번호 등이 포함됐다.

이 회사에 따르면 해커가 기존에 보유하고 있던 불특정 다수의 ID와 비밀번호를 알툴즈 사이트와 알패스에 무차별 대입해 정상 접속(로그인)에 성공하는 계정만을 분류하는 '사전 대입식 아이디·패스워드 자동화 공격' 방식을 사용했다.

보안업계 관계자는 "제품을 막론하고 편리하다는 것은 동시에 보안성 떨어질 수 있다는 의미가 될 수 있다"며 "전통적 비밀번호는 리셋해 다시 재설정하면 되지만, 생체인식 정보의 경우 한 번 유출되면 끝"이라고 말했다. 이어 "사업자들은 최근 정부에서도 발표한 가이드라인 등 관련 지침에 따라 데이터 관리 및 보안에 더 철저히 해야 할 것"이라고 덧붙였다.

이경탁기자 kt87@