구글 크롬의 ID와 비밀번호 노출! 과연 크롬만의 문제일까?

구글 크롬을 쓰면 ID와 비밀번호가 노출된다?

얼마전 해외 IT 블로그를 통해 구글 크롬 브라우저에 저장된 ID와 비밀번호 노출 문제가 화제로 떠올랐고, 해당 뉴스는 국내 뉴스 매체나 블로그를 통해 전파되었습니다.

Google leaves your Chrome passwords unprotected to promote security

 

해당 기사의 주요 내용은

구글 크롬 사용자가 입력한 ID와 비밀번호는 암호화 과정을 거치지 않은채 저장되어 구글 크롬 주소창에 'chrome://settings/passwords'라고 입력하면 사이트별 ID와 비밀번호가 훤히 노출된다는 것이었습니다.

 

해당 기사를 접한 네티즌들은 '이게 말이 되나' '구글 크롬 어이없다' '밖에서 크롬 쓰면 안되겠다'며 구글 크롬에 대한 비판의 목소리를 높였습니다.

하지만  이 문제는 비단 구글 크롬에만 해당하는 문제가 아닙니다. 

대부분의 브라우저가 같은 위험을 안고 있습니다.

크롬에 저장된 ID와 비밀 번호가 노출되는 과정

먼저 문제가 된 구글 크롬의 ID와 비밀번호 노출이 어떻게 이루어지는지 알아보겠습니다.

구글 크롬을 띄우고 주소창에 chrome://settings/passwords 를 입력합니다.

 

엔터를 누르면 구글 크롬을 쓰면서 그동안 저장했던 ID와 비밀번호가 사이트별로 쭉 나열됩니다.

저도 인터넷 익스플로러와 구글 크롬을 거의 비슷한 비율로 사용중이라 다양한 사이트가 보이는군요.

티스토리 관리자 주소, 페이스북, 구글 등 주요 사이트의 URL이 보입니다. 

별(*)로 표시되던 비밀 번호

 

사이트 주소 옆에는 사용중인 ID가 표시되며, 그 옆에는 비밀번호가 보입니다. 처음에는 이 비밀번호는 별(*)로 가려져 있습니다.

하지만, 별로 표시되는 암호를 클릭하면 [표시]라는 버튼이 나타납니다.

비밀번호를 클릭하면 [표시] 옵션이 나타난다

 

[표시] 버튼을 클릭할 때마다 비밀번호가 그대로 노출되고 있습니다.

이렇게 구글 크롬 사용자가 웹서핑 중 로그인한 ID와 비밀번호가 그대로 노출되는 것이, 이번에 해외 IT 블로그에서 제기한 문제점입니다.

[표시]를 클릭하면 비밀번호가 그대로 노출된다

파이어폭스의 ID와 비밀번호, 역시 그대로 노출

사용자의 ID와 비밀번호가 그대로 노출되는 문제, 구글 크롬만의 문제일까요? 다른 브라우저는 안전할까요?

일단 파이어폭스를 확인해보겠습니다. 파이어폭스의 [도구]-[설정]을 열고^[각주:1] 

 

[보안] 탭을 클릭하면 뜨는 화면에서 [암호 저장 목록] 버튼을 클릭합니다.

보안-암호 저장 목록을 클릭하면

 

암호 저장 목록에는 사이트 주소와 사용자 이름(ID)가 표시됩니다. 그런데, 아래쪽에 [암호 보이기] 버튼이 있군요.

[암호 보이기] 옵션이 있다

 

[암호 보이기] 버튼을 클릭하면 [정말 암호를 보이게 하시겠습니까?]라는 질문이 나오고 [예] 버튼을 클릭합니다.

 

앞서 사이트 주소와 사용자 이름만 보이던 창에 암호까지 고스란히 표시됩니다.

구글 크롬에서 별표로 표시되던 암호가 그대로 보였던 것과 마찬가지로, 파이어 폭스는 아예 보여주지 않던 [암호] 항목이 생기면서 암호가 표시됩니다.

파이어폭스에 저장된 웹사이트 주소, ID와 비밀번호 모두 확인

인터넷 익스플로러에 저장되는 ID와 암호는 안전할까?

이제 인터넷 익스플로러에 저장된 ID와 암호를 확인해보겠습니다.

인터넷 익스플로러의 [인터넷 옵션] 항목을 열고 [내용] 탭을 클릭한 후 [자동완성] 항목의 [설정] 버튼을 클릭합니다.

 

[양식에 사용할 사용자 이름과 암호] 항목과 [암호저장여부 확인] 체크 박스만 보일 뿐 암호를 볼 수 있는 기능은 없습니다.

그럼 인터넷 익스플로러는 구글 크롬이나 파이어폭스에 비해 안전한 것일까요?

ID와 비밀번호 목록이 없으니 안전할까?

 

잠깐의 검색을 통해 인터넷 익스플로러에 저장된 사용자 ID와 암호를 보여준다는 프로그램을 찾았습니다. 

NirSoft라는 업체의 웹사이트에서 무료로 배포 중인 IE PassView라는 무료 프로그램을 실행하니, 인터넷 익스플로러에 저장된 웹사이트 주소와 ID, 비밀번호가 고스란히 보여집니다.

인터넷에서 무료로 배포중인 프로그램으로 간단히 확인 가능

ID와 비밀번호 노출? 브라우저 문제가 아니다

같은 업체가 배포중인 WebBrowserPassView를 실행하는 것만으로 인터넷 익스플로러, 파이어폭스, 구글크롬, 사파리, 오페라 등의 브라우저에 저장된 사용자 ID와 비밀번호를 모두 확인할 수 있습니다.

이 업체의 프로그램 설명에는 ID와 비밀번호를 잊어버린 경우, 혹은 필요없이 저장되어 있는 개인정보를 확인하고 삭제하는 용도라하지만, 다른 사람이 쓰던 컴퓨터 앞에 잠시 앉아 이러한 류의 프로그램을 실행하면 주요 웹사이트의 ID와 비밀번호를 확인하는 것은 그야말로 식은죽 먹기입니다.

IE, 파이어폭스, 크롬, 사파리, 오페라...모두 보인다

 

브라우저에서 사용자의 ID와 비밀번호를 바로 확인할 수 있는 문제는 브라우저의 문제가 아닙니다.

이 ID와 비밀번호 저장 기능은 '사용자의 편의'를 위해 만들어진 기능으로 컴퓨터에 ID와 비밀번호를 저장하도록 클릭하는 순간부터 '편의를 위해' ID와 비밀번호가 노출된 위험을 감수하겠다는 뜻과 마찬가지입니다.^[각주:2]

비밀번호를 저장, 편리하지만 노출의 위험이 존재

컴퓨터에 저장된 ID와 비밀번호, 접속할 때는 별(*)로 표시되어 있으니 다른 사람은 알 수 없을 꺼라 생각하는 사람이 대부분입니다.

하지만 이렇게 간단한 작업만 거치면 전체 ID와 비밀번호가 유출될 수 있다는 사실은 대부분 모르고 있습니다.

브라우저에 저장한 ID와 비밀번호 삭제 방법

구글 크롬에 저장된 정보 삭제

사무실, 학교의 컴퓨터에 ID와 비밀번호를 저장한 분들, 이유야 어찌됐건 다른 사람이 쉽게 접근할 수 있는 컴퓨터에 저장한 ID와 비밀번호를 삭제하는게 좋겠죠?

먼저 구글 크롬입니다.

1. 주소입력창에 'chrome://settings'를 입력하여 설정창을 열고
2. 화면 하단의 [고급 설정 표시] 항목을 클릭합니다.
   
   
3. [개인정보]-[인터넷 사용정보 삭제] 버튼을 클릭한 후
4. [인터넷 사용정보 삭제] 창에서 [다음 항목 삭제] 항목을 [전체]로 설정하고
5. [캐시 삭제] [저장된 비밀번호 삭제] [저장된 자동완성 양식 데이터 삭제] 항목을 체크한 후
6. [인터넷 사용정보 삭제] 버튼을 클릭합니다.

삭제 후 다시 chrome://settings/passwords를 입력해 저장된 비밀번호를 확인하면 깨끗하게 비워졌음을 알 수 있습니다.

파이어폭스에 저장된 정보 삭제

파이어폭스에 저장된 ID와 암호는 암호 저장 목록하단의 [모두 제거] 버튼을 클릭하면 됩니다.

 

인터넷 익스플로러의 정보 삭제

1. 인터넷 옵션 창을 열고
2. [내용] 탭을 클릭한 후 [자동완성] 항목의 [설정] 버튼을 클릭합니다.
3. [자동 완성 기록 삭제] 버튼을 클릭하면
   
   
4. [검색 기록 삭제] 창이 표시됩니다. 저장된 ID와 암호만 지우려면 [양식데이터], [암호] 등의 항목을 체크한 후 [삭제] 버튼을 클릭하면 되지만 되도록 [쿠키 및 웹 사이트 데이터], [기록] 등의 항목도 함께 지울 것을 권합니다.
   

기록을 남기지 않는 브라우저 모드. 시크릿/사생활 보호/InPrivate

브라우저를 이용해 인터넷 접속을 하게 되면 그 컴퓨터에 다양한 정보들이 남게 됩니다.

방문했던 웹사이트 목록은 물론이며 어떤 정보를 봤는지 등, ID나 비밀번호 등 다양한 정보가 남게 되는데, 이러한 정보를 남기고 싶지 않다면 브라우저를 기록을 남기지 않는 모드로 전환하여 사용할 것을 권합니다.

 

구글 크롬의 시크릿 모드 전환 방법

구글 크롬은 '시크릿 모드'란 이름을 쓰고 있는데 크롬의 [옵션 버튼]-[새 시크릿 창] 항목을 클릭하거나 Ctrl+Shift+N 키를 누르면 새 창이 시크릿 모드로 뜹니다.

 

시크릿 모드로 열린 구글 크롬의 왼쪽 상단에는 스파이 그림이 있으며 창 아래쪽에는 시크릿 모드로 사용 중임을 알리는 설명이 있습니다.

시크릿 모드의 창을 닫으면 쿠키와 같은 추적 정보를 컴퓨터에 남기지 않지만 일부 정보와 '뒤에 서 있는 사람'에게는 효력이 없다고 하는군요.

 

파이어폭스의 사생활 보호 모드 전환 방법

파이어폭스는 '사생활 보호 모드'라는 이름을 쓰고 있습니다.

[파일]-[새 사생활 보호 모드]를 선택하거나 Ctrl+Shift+P 키를 누르면 새 파이어폭스 창이 사생활 보호 모드'로 열리게 됩니다.

 

사생활 보호 모드로 열린 파이어폭스 오른쪽 상단에는 가면 그림이 떠 있으며 역시 사생활 보호 모드에서는 방문 기록, 검색 기록, 다운로드 기록, 폼 양식 기록, 쿠키, 임시 파일 등의 정보가 저장되지 않습니다.

 

인터넷 익스플로러의 InPrivate 브라우징 전환 방법

인터넷 익스플로러는 'InPrivate 브라우징'이라는 이름을 쓰고 있는데, [옵션] 버튼 - [안전] - [InPrivate 브라우징] 항목을 클릭하거나 Ctrl+Shift+P 키를 누르면 새 인터넷 익스플로러 창이 InPrivate 모드로 열리게 됩니다.

 

인터넷 익스플로러 역시 주소 입력창 옆에 InPrivate 라는 표시가 있어 쉽게 알 수 있습니다.

개인 정보 보호, 사용자 개인이 직접 챙겨야

브라우저에 저장된 ID와 비밀번호를 챙기고, (이름이야 어찌됐건) 개인정보가 남지 않는 모드로 인터넷을 검색하면 안전할까요?

혹시 공공장소나 여러 사람이 쓰는 컴퓨터에서 거리낌없이 인터넷에 접속해 ID와 비밀번호를 입력해 왔다면, 앞으로는 그런 컴퓨터는 되도록 쓰지 말것을 권합니다.

공공장소에 설치되어 누구나 사용할 수 있는 컴퓨터라면 앞서 살펴본 ID와 비밀번호 누설의 위험 외에도 다양한 해킹 툴, 이를테면 키로거^[각주:3]나 스크린 로거^[각주:4] 등을 통해 정보가 누출될 추가적인 위험이 항상 존재합니다.

 

내가 어디에 접속해 무엇을 검색하는지, 어떤 ID와 비밀번호를 쓰는지 훤히 들여다보일 수 있으니 그러한 컴퓨터에서 ID와 비밀번호를 입력하는 일은 하지 않는 것이 최선의 대비책입니다. 인터넷 뱅킹 접속? 당연히 하지말아야 합니다.

 

공공장소의 컴퓨터는 되도록 사용하지 말되, 어쩔 수 없이 써야할 때는 '안전하지 않다'라는 사실을 항상 염두에 두고 최소한으로 사용할 것을 권합니다.

그리고, 내 컴퓨터를 다른 사람이 마음대로 쓰게 두지 마세요.

개인 정보, 각자 지켜야 합니다.

 

관련글

• 2013/08/15 - 강력한 무료 백신 AVAST, 벌써 1년? 간단히 등록 갱신 하는 방법
• 2013/05/28 - 아무 카드나 다 열린다는 디지털 도어록 업체의 생색만 낸 리콜
• 2012/11/12 - 가짜 은행 사이트와 유사한, 트위터 ID 피싱 사이트 수법은?
• 2012/10/19 - 러시아발 트위터 해킹, 원인과 수법, 대처 방법은?
• 2012/10/04 - 내 컴퓨터는 내가 지킨다! 윈도우 제어판 설정 막는 법
• 2012/10/03 - 컴퓨터 명절 후유증의 주범, 액티브X 설치 임시 차단하는 법
• 2012/07/20 - 악성코드 배포 블로그 활개치는 이유, 신고해보니 알겠네
• 2010/01/22 - 나는 ActiveX가 싫어요!!! (to. LG파워콤)
• 2009/10/18 - USB 메모리 바이러스 감염, 전파 방지를 위한 조치들
• 2009/10/17 - 바이러스 감염에 의한 숨김 파일 표시 설정 불가 증상

1. [도구] 메뉴가 보이지 않는다면 ALT키를 눌러 메뉴를 띄운다 [본문으로]
2. 이 문제는 브라우저 뿐 아니라 메신저, FTP 프로그램과 같이 ID와 비밀번호를 저장해 두고 [확인] 버튼만 클릭하면 바로 로그인할 수 있는 대부분의 프로그램에 해당되는 문제입니다. [본문으로]
3. KeyLogger : 컴퓨터 사용자의 키보드 입력을 탐지해 ID, 패스워드, 계좌번호, 카드 번호 등의 중요한 정보를 빼가는 해킹 프로그램 [본문으로]
4. ScreenLogger : 사용자의 컴퓨터 화면을 캡쳐, 정보를 빼가는 프로그램 [본문으로]