(뉴스렉카)

스마트폰이나 PC 브라우저로 온라인 서비스를 이용하다 보면 아이디와 패스워드를 쉽게 재사용할 수 있도록 자동 로그인 기능을 이용해 아이디와 패스워드를 브라우저에 저장한다. 그러나 사용자가 저장한 아이디와 패스워드는 브라우저 내 특정 파일에 저장되는데, 공격자가 이를 탈취하게 되면 사용자의 모든 계정 정보가 한순간에 공격자에게 넘어가 사용자의 온라인 서비스를 대상으로 한 2차 공격이 이뤄진다.

그동안 브라우저의 자동 로그인 취약점을 해결할 방법이 없어 한국인터넷진흥원이나 국가정보원 등에서는 브라우저 자동 로그인을 사용하지 말 것을 당부하고 있으나 브라우저에 저장해 놓은 수많은 아이디와 패스워드를 일일이 새로운 곳에 옮기기가 여간 어려운 일이 아니었다.

이스톰은 자사가 보급하는 국내 유일 패스워드 매니저인 ‘QPM (QR Password Manager)’에 크롬이나 엣지에 저장된 아이디와 패스워드를 한번에 안전한 패스워드 매니저로 이관시키는 ‘계정 들여오기’ 기능의 추가를 통해 사용자의 아이디와 패스워드를 보호하는 기능을 탑재했다고 밝혔다.

이 기능은 QPM이 설치된 스마트폰에서 크롬 브라우저의 비밀번호 내보내기를 선택하고, 내보내기 대상을 QPM 앱으로 선택하면 크롬 브라우저 내 비밀번호가 한번에 QPM으로 이관된다. 스마트폰뿐만 아니라 PC에 설치된 크롬 브라우저에서 저장된 비밀번호도 CSV 파일로 익스포트한 후 스마트폰에서 사용하는 이메일로 보낸 다음 스마트폰에서 CSV 파일을 QPM 앱으로 공유하면 한번에 모든 계정 정보가 QPM 앱으로 이관된다.

서버에서 사용자의 아이디와 패스워드를 동기화하는 해외의 일반적인 패스워드 매니저와 달리 QPM은 사용자의 모든 아이디와 패스워드를 스마트폰 내 안전영역(SE)에만 저장하고 있다가 다른 앱에서 패스워드가 필요할 때는 스마트폰 패스워드 매니저로 작동해 패스워드를 넣어주고, PC에서 필요할 때는 브라우저의 QPM 익스텐션이 제공하는 QR코드를 통해 패스워드를 제공하기 때문에 패스워드 매니저 서버를 대상으로 한 공격이 불가능한 패스워드 매니저다. 게다가 일반적인 패스워드 매니저처럼 사용자가 처음 사용하려고 할 때 회원 가입을 요구하지 않고, 오로지 스마트폰 생체인증으로만 구동하기 때문에 패스워드 매니저의 계정 도용이 원천적으로 불가능한 구조다.

이스톰 우종현 대표는 “크롬이나 엣지 브라우저의 패스워드 보안 취약점을 한번에 해결할 수 있으면서 PC가 변경되면 패스워드 입력을 하지 못해 당황하던 사용자의 고충도 해결할 수 있다”며 “자신의 스마트폰에서만 패스워드를 관리하는 QPM 앱이 패스워드를 필요로 하는 일상 생활에 더 많이 기여할 수 있기를 기대한다”고 밝혔다.