英 IT 시큐리티 구루 “통합 관리의 편리함이 ‘단일 실패 지점’ 자초”

제로 트러스트도 무용지물... ‘엔드포인트’ 장악되면 속수무책

AI 피싱·세션 탈취 기승... ‘패스키·하드웨어 보안 키’가 해답

최근 국내에서도 대형 온라인 쇼핑몰과 금융권의 개인정보 유출 우려가 끊이지 않는 가운데, 현대 사이버 보안의 ‘필수품’으로 통하던 ‘비밀번호 관리자(Password Manager)’가 오히려 해커들의 새로운 먹잇감이 되고 있다는 분석이 나왔다. 수십 개의 복잡한 암호를 하나의 ‘마스터 비밀번호’로 통합 관리하는 방식이 보안의 효율성은 높였지만, 역설적으로 해커에게 모든 문을 여는 ‘만능열쇠’를 쥐여주는 결과를 초래한다는 지적이다.

영국의 보안 전문 매체 ‘IT 시큐리티 구루(IT Security Guru)’는 지난 3일(현지 시간) 비밀번호 관리 시스템이 직면한 구조적 한계와 새로운 위협을 심층 진단했다. 이 매체는 모든 디지털 자산의 접근 권한을 한곳에 집중시키는 방식이 사용자 편의를 돕는 도구에서 치명적인 ‘단일 실패 지점(Single Point of Failure)’으로 전락하고 있다고 경고했다.

‘모든 달걀을 한 바구니에’... 통합의 역설

지난 수년간 보안 업계는 ‘123456’과 같은 단순한 비밀번호 사용을 멈추고, 사이트마다 서로 다른 복잡한 암호를 사용할 것을 권고해 왔다. 이를 위한 현실적인 대안이 바로 비밀번호 관리자였다. 이 도구는 사용자가 기억해야 할 수많은 암호를 암호화된 디지털 금고에 저장하고, 사용자는 오직 하나의 강력한 ‘마스터 비밀번호’만 기억하면 되는 구조다.

하지만 IT 시큐리티 구루는 이러한 중앙 집중식 설계가 해커들에게 ‘가성비 높은’ 공격 목표를 제공한다고 지적했다. 개별 계정을 하나씩 해킹하는 것보다, 비밀번호 관리자의 마스터 권한을 탈취하는 것이 훨씬 더 큰 이득을 가져다주기 때문이다.

특히 온라인 뱅킹, 사내 인트라넷, 개인 SNS(소셜네트워크서비스) 등 민감한 정보가 모두 한곳에 저장돼 있다는 점은 치명적이다. 매체는 “디지털 열쇠를 한곳에 통합하는 우아한 해결책이 오히려 약점을 제거하기보다 약점을 한곳으로 옮겨놓은 것에 불과할 수 있다”며 이를 ‘단일 실패 지점의 역설’이라고 명명했다.

완벽한 암호화도 ‘사람’ 앞에서는 무용지물

대다수 유력 비밀번호 관리 업체들은 ‘영지식(Zero-Knowledge)’ 아키텍처를 채택하고 있다. 이는 서비스 제공자조차 사용자의 비밀번호를 알 수 없도록 설계된 기술이다. 데이터는 사용자 기기에서 암호화된 상태로 서버에 전송되므로, 설령 업체 서버가 해킹당하더라도 해커는 복호화할 수 없는 무의미한 데이터 조각만 얻게 된다.

문제는 기술이 아닌 ‘사용자 환경’에 있다. IT 시큐리티 구루는 “해커들이 굳이 난공불락인 서버를 뚫을 필요가 없다”고 분석했다. 대신 사용자가 마스터 비밀번호를 입력하는 순간을 노린다.

사용자 기기(PC나 스마트폰)가 키로깅(Keylogging) 멀웨어나 화면 캡처 악성코드에 감염됐다면, 아무리 강력한 영지식 암호화도 소용이 없다. 사용자가 키보드로 비밀번호를 입력하는 즉시 평문 그대로 해커에게 전송되기 때문이다. 이는 엔드포인트(단말기) 보안이 전제되지 않은 비밀번호 관리자는 모래성이나 다름없다는 뜻이다.

최근 생성형 인공지능(AI)을 악용한 피싱 공격이 정교해지면서 위험은 더욱 커졌다. 해커들은 실제 로그인 페이지와 구별이 불가능한 가짜 사이트를 만들고, 사용자가 무의식적으로 ‘자동 완성(Autofill)’ 기능을 사용하도록 유도한다. 편의를 위해 사용하는 자동 완성 기능이 오히려 피싱 사이트에 제 발로 계정 정보를 넘겨주는 통로가 되는 셈이다.

MFA도 뚫린다... 하드웨어 보안 키가 대안

비밀번호 관리자의 보안을 보완하기 위해 2단계 인증(MFA)을 사용하는 경우가 많지만, 이 역시 완벽한 방패는 아니다. 최근 해커들은 ‘MFA 피로 공격(사용자에게 인증 요청을 무차별적으로 보내 승인을 유도하는 방식)’이나 ‘AiTM(Adversary-in-the-Middle, 중간자 공격)’ 기법을 사용해 보안을 우회하고 있다.

AiTM 공격은 사용자가 비밀번호와 2단계 인증 코드를 입력하는 과정을 중간에서 가로채, 로그인에 성공한 후 생성되는 ‘세션 토큰(Session Token)’ 자체를 훔쳐낸다. 이렇게 되면 해커는 비밀번호를 몰라도 로그인된 상태를 유지하며 계정을 장악할 수 있다.

보안 전문가들은 비밀번호 관리자가 여전히 유용한 도구임은 분명하지만, 더는 ‘만능열쇠’가 아니라고 입을 모은다. IT 시큐리티 구루는 단순한 비밀번호 관리를 넘어 ▲하드웨어 보안 키(YubiKey 등) 활용 ▲패스키(Passkey) 도입 ▲철저한 기기 위생 관리 등 다층적인 보안 전략이 필요하다고 제언했다.

특히 금융권과 주요 기업에서는 비밀번호 자체를 없애는 ‘패스키’ 도입을 서두르고 있다. 구글과 애플, 마이크로소프트가 주도하는 패스키는 생체 정보나 기기 인증을 통해 로그인하는 방식으로, 서버에 비밀번호가 저장되지 않아 탈취 위험을 원천적으로 차단한다.

보안의 핵심은 ‘도구’가 아닌 ‘관리’다. 매체는 “비밀번호 관리자는 강력한 도구이지만, 이를 맹신하는 순간 가장 큰 취약점이 된다”며 “사용자의 디지털 습관과 엔드포인트 보안이 뒷받침되지 않는다면 디지털 금고는 언제든 열려 있는 문이 될 수 있다”고 강조했다.