구글 비밀번호 관리자와 비밀번호 진단. 윈도우10의 핀번호와 사이트 ID, 비밀번호 노출

구글 크롬, 구글 계정에 저장된 비밀번호

구글 크롬 브라우저를 사용하는 대부분의 사용자들은, 구글 크롬을 이용해 접속하는 사이트의 ID와 비밀번호를 크롬 브라우저에 저장해 두곤 합니다.


이렇게 구글 크롬을 통해 저장된 ID와 비밀번호는 구글 계정에 동기화 되어 데스크톱 PC와 스마트폰 등의 기기들에서 모두 공유하며 사용하게 됩니다.


물론 대부분의 경우 구글 크롬 계정에 로그인하고, 로그인 된 개인 계정에 저장되는 1차 적인 보안 장치가 갖추어져 있고, 이제는 매우 당연하게 사용하는 기능인데, 수 년 전에는 브라우저에 ID와 비밀번호가 저장되어 있고, 이 비밀번호를 매우 간단히 확인할 수 있다는게 이슈가 되기도 했습니다.

2013/08/19 - 구글 크롬의 ID와 비밀번호 노출! 과연 크롬만의 문제일까?


어쨌든 구글 크롬과 스마트폰의 구글 계정을 연동해 사용하다보면, 각 사이트의 ID와 비밀번호가 저장됩니다.


그리고 스마트폰용 크롬에 저장된 비밀번호를 확인하려면 [더보기] - [설정] 버튼을 터치하고

모바일 크롬 설정


[비밀번호] 항목을 터치하면 각 사이트의 주소와 ID가 표시되고 해당 항목을 터치해 비밀번호도 확인할 수 있습니다.


단 오늘 할 얘기는 크롬에 저장된 비밀번호를 확인하는 방법이 아니라, 구글의 [비밀번호 진단] 기능에 대해서입니다.

크롬 브라우저 비밀번호

구글의 비밀번호 진단 기능은 크롬 브라우저의 비밀번호 페이지에서 [Google 계정에서 저장된 비밀번호 보기 및 관리] 항목을 터치하거나, 구글 계정의 비밀번호 관리자 페이지에 접속하면 볼 수 있습니다.

구글 비밀번호 관리자

구글 계정에 로그인한 상태라면 [비밀번호 관리자] 페이지가 바로 뜨고, 로그인하지 않은 상태면 구글 계정 로그인 페이지가 뜨게 됩니다.


[비밀번호 관리자]에서 제가 관심이 갔던 부분은 [비밀번호 진단] 섹션으로 [비밀번호 확인] 버튼을 터치했습니다.

구글 비밀번호 관리자


[비밀번호 확인] 버튼을 터치하면 스마트폰에 설정된 화면 잠금 패턴, 혹은 지문 인증 단계를 거치게 됩니다.

구글 비밀번호 관리자 본인인증

데스크톱 PC에서는 구글 계정 비밀번호를 한 번 더 입력하는 과정을 거치게 됩니다.


잠시 비밀번호 진단 화면이 지나가고 나면, 해킹/도용된 비밀번호, 재사용된 비밀번호, 취약한 비밀번호를 사용하는 계정 등의 항목들로 비밀번호 분석 결과가 표시됩니다.


저는 해킹/도용된 비밀번호는 없다고 표시되는데, [재사용된 비밀번호 23개]로 표시됩니다.


저는 사이트마다 다른 비밀번호를 설정해 사용 중인데, 재사용된 비밀번호가 확인되었네요.

뭔가 살펴봤더니, 내부 IP 주소에 같은 비밀번호를 사용한 것들이 체크된 것들입니다.

구글 비밀번호 진단 재사용된 비밀번호


그런데 아래쪽으로 넘기다 보니 내부 네트워크가 아닌 외부 웹사이트도 같은 비밀번호를 입력한 곳들이 있었습니다.

이럴리가 없는데, 하며 살펴봤더니 하나의 ID를 이용해 접속하는 통합 ID 사이트들이 같은 비밀번호를 사용한다고 경고가 뜬 것이었습니다.

통합 ID 재사용된 비밀번호

아무튼 통합 ID는 편리한 수단이긴 하지만, 한 군데가 털리면 다른 웹사이트들도 털리게 되는 것인 만큼, 위험도는 좀 더 높은 상태입니다.


[재사용된 비밀번호] 항목 아래에는 [취약한 비밀번호를 사용하는 계정] 항목에도 꽤 많은 경고가 떴는데, 대부분 짧은 비밀번호를 설정해 둔 내부 네트워크의 비밀번호에서 이런 경고가 떴네요.

구글 비밀번호 진단 취약한 비밀번호


구글에서 제시한 안전한 비밀번호 설정 방법 페이지에는, 8자 이상의 비밀번호를 만들라는 얘기 등을 비롯한 도움말이 있으니 참고해 볼만합니다.


구글 안전한 비밀번호 만들기 도움말

접속 않는 사이트들 확인 및 삭제

구글 계정의 비밀번호 진단 기능 및 결과는 흔히 들어왔던 식상한 얘기일 수도 있습니다.


다만 저는 그동안 구글 크롬과 구글 계정에 저장된 사이트들 중 오랫동안 접속하지 않은 사이트, 심지어 언제 가입했는지 기억나지 않는 사이트들의 목록을 확인할 수 있었던 게 매우 인상적입니다.


SK텔레콤을 사용하지 않은지 몇 년이 지났지만 SK텔레콤 관련 사이트들의 목록들도 보였고

구글 계정에 저장된 ID와 비밀번호


구글 크롬 브라우저의 비밀번호 항목에는 언제 가입했는지 기억나지 않는 사이트들도 수두룩하게 나오는군요.

크롬 브라우저에 저장된 ID와 비밀번호

어쨌든 해당 사이트들의 ID와 비밀번호를 확인하니, 제가 적어낸 패턴이 확실한 터라, 사용하지 않는 사이트들에 일일이 접속해 탈퇴 절차를 진행했습니다.

스마트폰 패턴, 지문, 데스크톱PC의 핀번호

윈도우10 PC의 크롬 브라우저에서 비밀번호를 확인하려면 윈도우10의 로그인에 사용하는 핀번호를 입력해야 합니다.


4자리 숫자로 된 핀번호는, 윈도우10 PC에 간편하게 로그인하는 역할로, 딱히 보안 수단으로 여기지 않는 경우를 많이 보는데 실제로는 윈도우의 로그인 핀번호만 알면 각 사이트의 로그인 ID와 비밀번호를 파악할 수 있습니다.

윈도우10 핀번호 보안


특히 WebBrowserPassView와 같은 프로그램을 이용하면, 사이트 별 ID와 비밀번호를 확인할 때마다 핀번호를 입력하지 않고 PC에 설치된 여러 브라우저에 저장된 ID와 비밀번호들을 한꺼번에 확인할 수 있습니다.

WebBrowserPassView

물론 이 프로그램을 통해 웹브라우저에 저장된 ID와 비밀번호를 확인하려면 일단 윈도우10 PC에 로그인해야하는 만큼, 로그인 비밀번호, 혹은 핀번호는 매우 조심해서 관리해야겠습니다.


이 글을 공유하기

댓글 :: 질문 댓글은 공개글로 달아주세요. 특별한 이유없는 비밀 댓글에는 답변하지 않습니다

Designed by JB FACTORY