패스워드 자동 채우기를 그대로 사용하세요
패스워드 관리 소프트웨어에는 보통 웹브라우저 익스텐션을 통해 웹브라우저에 나타난 로그인 폼에 로그인 정보를 자동으로 채워 주는 기능이 있습니다. 보안을 위해 모든 웹사이트에 서로 다른 패스워드를 사용하라는 권장 사항을 질리드록 들어 왔겠지만 이런 권장 사항을 안정적으로 실천할 수 있는 거의 유일한 방법은 패스워드 관리 소프트웨어를 사용하는 것입니다. 또한 모든 사이트마다 다른 패스워드를 사용하면서도 로그인이 별로 불편하지 않은 정도로 경험을 유지할 수 있는 이유 역시 패스워드 관리 소프트웨어가 제공하는 자동 로그인 기능 또는 자동 폼 채우기 기능 때문입니다.
만약 패스워드 관리 소프트웨어를 사용하지 않는다면 서비스마다 다른 패스워드를 사용하기 쉽지 않고 또 자동 폼 채우기 기능을 사용하지 않는다면 로그인 할 때마다 패스워드를 찾아서 직접 붙여 넣어야 해서 로그인 경험이 고통스러워 질 겁니다. 예외가 없지는 않은데 사이트마다 다른 패스워드를 사용하면서도 사이트마다 다른 패스워드를 사용하는 규칙을 완전히 외우고 또 습관적으로 사용하시는 분을 알고 있기는 합니다. 하지만 이런 사용 시나리오를 자신을 포함한 평범한 사람들에게 권하는 것은 너무 가혹한 일이라고 생각합니다.
그런데 2023년 봄 기준으로 최근에 한 패스워드 관리 소프트웨어가 안전하지 않은 폼에도 패스워드를 자동으로 채우는 문제가 발견되었다고 합니다. 패스워드 관리 소프트웨어들은 자체적으로 웹브라우저에 나타난 사이트가 조작되지는 않았는지, 또 가짜 웹사이트는 아닌지 확인한 다음에야 패스워드를 채워 줍니다. 그래서 대부분 패스워드를 자동으로 채워도 안전한데 이 소프트웨어는 사이트가 조작된 상태에서도 패스워드를 채워 넣어 패스워드를 훔칠 수 있는 시나리오에 노출된 모양입니다.
그래서 이런 동작을 본 어떤 분들은 패스워드 관리 소프트웨어를 사용하는 것은 좋지만 자동으로 폼 채우는 기능은 사용하지 않는 편이 좋다는 글을 남겨 주시기도 했는데 개인적으로는 동의하지 않습니다. 패스워드 관리 소프트웨어가 완벽하게 동작하지 않는 시나리오에서 원하지 않게 자동 폼 채우기 기능을 통해 패스워드가 노출될 가능성이 있다 하더라도 자동 폼 채우기 기능은 평소에 더 편리하고 더 강력한 보안 수준을 유지해 준다고 생각하기 때문입니다.
이미 설명했듯 패스워드 관리 소프트웨어는 웹 브라우저에 나타난 폼을 채우기 전에 먼저 이 웹사이트가 조작되지는 않았는지, 가짜 웹사이트는 아닌지 검사한 다음 폼에 아이디와 패스워드를 채움니다. 그런데 조작된 폼에 패스워드가 자동으로 입력될 수 있음을 걱정하며 자동 폼 채우기 기능을 사용하지 않으면 이 웹사이트가 조작되었는지, 아니면 가짜 웹사이트인지를 사용자 스스로 확인해야 합니다. 웹사이트에 문제가 있는지 사용자가 직접 확인할 방법이 없지는 않습니다. 인증서를 확인해 정상적인지 확인하고 인증 주체가 신뢰할 수 있는 주체인지 확인하고 또 브라우저가 이 인증 과정의 무결성을 확인했다면 비교적 안전하다고 할 수 있습니다. 하지만 이런 과정은 귀찮고 복잡하고 시간이 걸리기 때문에 쉽게 누락할 수 있습니다.
또한 사람은 시각적으로 아주 잘 설계된 가짜 웹사이트에 쉽게 속을 수 있습니다. 만약 시각적으로 완전히 똑같이 만들어진 구글 웹사이트가 사실은 엉뚱한 주소의 가짜 웹사이트라는 사실을 일관성 있게 찾아낼 수 있을까요? 결코 그렇지 않을 겁니다. 대부분은 주소에 이미 엉뚱한 경로가 나타나 있지만 반사적으로 똑같이 생긴 로그인 폼에 패스워드를 붙여 넣게 됩니다. 하지만 패스워드 관리 소프트웨어는 이런 시각적인 신호에 일관되게 속지 않습니다. 애초에 주소가 다른 웹사이트의 폼을 채우지 않습니다. 게다가 이런 동작은 사용자 입장에서 편리하기도 합니다.
어떤 패스워드 관리 소프트웨어가 엉뚱한 폼을 자동으로 채울 수 있고 이를 악용해 패스워드를 훔칠 수 있는 시나리오가 존재함을 부정할 필요는 없지만 이런 시나리오를 걱정해 평소에 더 편안하고 안전한 자동화된 기능을 사용하는 대신 일관되지 않고 시각 신호에 쉽게 속는 사람이 불편을 감수하며 패스워드를 직접 입력하거나 직접 복사해다가 붙일 이유는 별로 없습니다. 개인적으로 보안 수단은 그게 얼마나 안전한지도 중요하지만 그게 얼마나 편리한지도 중요하다고 생각합니다. 편리해야 일관되게 더 많은 곳에 더 안정적으로 사용할 수 있기 때문입니다.
패스워드 관리 소프트웨어 중 일부가 일부 시나리오에 문제를 일으킬 수 있다지만 그래도 패스워드 관리 소프트웨어의 폼 자동 채우기 기능을 사용하는 것을 추천합니다. 사람보다는 기계가 더 편하고 더 일관되고 더 안전합니다.