Microsoft Edge에 비밀번호를 저장하고 계시다면, 귀하가 알아야 할 보안 위험이 있습니다. 최근 공개된 내용에 따르면, Edge를 열 때마다 브라우저는 사용자가 로그인하려는 웹사이트의 비밀번호뿐만 아니라 저장된 모든 비밀번호를 즉시 읽을 수 있는 형태로 메모리에 로드합니다. 이는 멀웨어나 유출된 관리자 계정 또는 기타 공격자가 귀하의 기기나 사용자 세션에 접근할 경우, Edge에 저장된 모든 계정의 자격 증명이 노출될 수 있음을 의미합니다.

이 발견은 보안 연구원 Tom Jøran Sønstebyseter Rønning(새 창)에 의해 공개되었으며, 그는 이에 대해 Microsoft 측에서는 이러한 동작이 “의도된 설계(by design)”라고 답변했다고 밝혔습니다.

Microsoft의 공식 문서에 따르면 Edge는 AES(고급 암호화 표준)를 사용하여 디스크에 저장된 비밀번호를 암호화하며, 사용자 세션이나 기기가 유출될 경우 비밀번호가 노출될 수 있음을 인정하고 있습니다. 이번에 새롭게 공개된 내용은 이 사실을 부정하는 것이 아니라 다른 우려를 제기합니다. 즉, Edge가 브라우저를 실행하자마자 저장된 모든 비밀번호를 읽을 수 있는 메모리로 로드하기 때문에, 공격자가 충분한 접근 권한을 얻게 될 경우 메모리 스크래핑의 가치가 훨씬 더 높아진다는 점입니다.

이는 Microsoft가 Microsoft Authenticator에서 비밀번호 저장 및 자동완성 기능을 단계적으로 중단하고, Microsoft의 비밀번호 기능을 계속 사용하려는 사용자들이 자사 브라우저를 사용하도록 유도함으로써 Edge를 중심으로 비밀번호 관리를 좁힌 지 1년 만에 나온 소식입니다.

Microsoft Edge가 저장된 비밀번호를 처리하는 방식

비밀번호는 저장 시 암호화로 보호되어야 합니다. 암호화는 읽을 수 있는 비밀번호(서식 없는 텍스트)를 읽을 수 없는 데이터(암호문)로 변환합니다. 해당 비밀번호를 자동완성에 사용하려면 브라우저가 결국 이를 다시 읽을 수 있는 형태로 복호화해야 합니다. 여기서 중요한 질문은 다음과 같습니다. ‘한 번에 얼마나 많은 비밀번호 데이터가 읽기 가능한 상태가 되는가?’

보안 연구원 Tom Jøran Sønstebyseter Rønning은 Microsoft Edge가 필요할 때 특정 비밀번호만 복호화하는 대신, 실행 즉시 저장된 모든 비밀번호를 서식 없는 텍스트로 브라우저 메모리에 로드한다고 말합니다. 여기에는 Edge 비밀번호 관리자에 저장된 모든 비밀번호가 포함되며, 현재 브라우징 세션 동안 방문하지 않거나 자동완성을 사용하지 않는 웹사이트의 비밀번호까지 포함됩니다.

Microsoft Edge가 저장된 비밀번호를 서식 없는 텍스트로 노출된 상태로 유지하는 방식을 보여주는 터미널
출처: X의 @L1v1ng0ffTh3L4N

이로 인해 Edge의 재인증 프롬프트가 오해를 불러일으킬 수 있습니다. 브라우저 프로세스에는 이미 저장된 모든 비밀번호가 읽기 가능한 형태로 준비되어 있음에도 불구하고, 인터페이스는 비밀번호를 보여주기 전에 귀하의 신원을 증명할 것을 요구하기 때문입니다.

연구원은 Google Chrome, Brave, Vivaldi, Opera 및 Microsoft Edge를 포함한 여러 Chromium 기반 브라우저에서 이 동작을 테스트했습니다. 그중 Edge만이 이러한 동작을 보였습니다.

Microsoft Edge를 열어두는 것만으로도 충분합니다

SANS Internet Storm Center(새 창)에 기고한 보안 연구원 Rob VandenBrink는 Microsoft Edge를 열어두고 실행 중인 브라우저 세션의 메모리 덤프를 분석하여 이 문제를 재현했습니다. 그는 로그인된 Windows 사용자가 추가 권한 없이도 저장된 Edge 자격 증명을 덤프할 수 있음을 입증했으며, 이는 해당 사용자로 실행되는 멀웨어도 잠재적으로 이러한 자격 증명에 접근할 수 있음을 의미합니다.

Windows 작업 관리자를 사용하여 Microsoft Edge용 메모리 덤프 파일을 쉽게 생성하는 방법과 캡처된 DMP 파일에서 저장된 모든 비밀번호를 쉽게 확인하는 방법을 보여주는 나란히 배치된 두 개의 패널
출처: SANS Internet Storm Center의 Rob VandenBrink

단 하나의 유출된 세션이 모든 비밀번호를 노출시킬 수 있습니다

공격자가 기기나 사용자 세션에 대한 충분한 접근 권한을 얻으면 브라우저의 메모리를 조사할 수 있습니다. 필요할 때만 비밀번호 하나를 복호화한다면 공격자가 데이터를 캡처할 수 있는 시간적 창이 좁아지고 데이터 양도 적어집니다. 하지만 저장된 모든 비밀번호가 이미 암호화로 보호되지 않은 채 메모리에 있다면 메모리 스크래핑의 가치는 훨씬 커지게 됩니다.

이 위험은 터미널 서버, 원격 데스크톱, 가상 데스크톱 인프라 또는 여러 사용자가 동시에 로그인하는 시스템과 같은 공유 환경에서 특히 심각합니다. 유출된 관리자 계정은 Edge가 여전히 실행 중인 연결 해제된 세션을 포함하여, 다른 로그인된 사용자로부터 저장된 자격 증명을 추출할 수 있습니다.

Microsoft Edge에 비밀번호를 저장한 경우 대처 방법

이것이 모든 Microsoft Edge 사용자가 해킹당했다는 뜻은 아니지만, 개인과 조직은 자격 증명을 저장하기에 Edge가 적절한 장소인지 재고해야 합니다. 안전을 지키기 위해 귀하가 할 수 있는 일은 다음과 같습니다.

  • Microsoft 브라우저에 새 비밀번호를 저장하는 것을 중단하고 Edge 비밀번호 관리자를 비활성화하십시오.
  • 저장된 자격 증명을 보안 비밀번호 관리자로 이동하십시오. Edge 비밀번호를 Proton Pass로 쉽게 불러오기할 수 있습니다.
  • 마이그레이션 후 Edge에 저장된 비밀번호를 삭제하십시오.
  • 이메일, 금융 계정, 관리자 도구, 비밀번호 재설정 받은 편지함, 업무용 계정을 시작으로 고위험 비밀번호를 고유한 비밀번호로 변경하십시오. Proton의 비밀번호 관리자에는 이 목적을 위한 통합 도구가 있지만, 비밀번호 생성기를 사용할 수도 있습니다.
  • 가능한 경우 2단계 인증(2FA) 또는 패스키를 활성화하십시오. 이는 비밀번호가 노출되었을 때의 피해를 줄이는 데 도움이 됩니다. Proton Pass는 귀하의 모든 저장된 계정에 대해 패스키2단계 인증을 지원합니다. 또한 인증 앱을 사용하여 Proton 계정으로의 접근을 안전하게 관리할 수 있습니다.
  • IT 팀의 경우: Edge 비밀번호 정책을 검토하고 브라우저 비밀번호 저장 기능을 비활성화하여 조직의 리스크를 줄이십시오. 중앙에서 제어되는 비즈니스용 비밀번호 관리자가 직원이 개별 브라우저에 비밀번호를 저장하는 것보다 우수합니다.

귀하의 비밀번호는 Microsoft Edge보다 더 나은 대우를 받을 가치가 있습니다

이번 Microsoft Edge 정보 공개는 개인과 조직에 명백한 보안 우려를 불러일으킴에도 불구하고, 이러한 종류의 노출을 예상된 동작으로 취급하는 회사가 소유한 비밀번호 관리자에 귀하의 가장 민감한 자격 증명을 저장해서는 안 된다는 점을 상기시켜 줍니다.

Proton Pass를 사용하면 귀하의 비밀번호, 별칭, 패스키 및 2단계 인증 코드가 종단 간 암호화로 보호되며, 어디서 어떻게 사용할지에 대한 통제권을 귀하가 직접 가질 수 있습니다.

무료 Proton Pass 계정 생성하기