구글 크롬과 파이어폭스에서 개인정보 빼내간다는 문제 때문에 논란이되고 있는데 또 다른 건으로 기사화가 되었네요. 불여우와 크롬의 경우 이전부터 있던 기능이어서 무심코 사용하고 있었는데 기사 내용을 보고 직접 따라해보니 아이디와 비밀번호가 너무나 쉽게 노출되어 깜짝 놀랐습니다.
구글 크롬이나 Firefox을 사용중이라면 자리를 비우는순간 누군가와서 아이디와 비밀번호를 쉽게 알아챌 수 있습니다. 그림처럼 사용자 이름과 비밀번호가 그대로 나타나게 할 수 있기 때문이죠. (개인정보라 내용을 보이지 않게 했습니다.)
구글 크롬의 아이디와 비밀번호 보이기
구글 크롬의 경우 옵션 > 환경설정 에서 저장된 비밀 번호 보기를 하면 사이트와 사용자 이름이 나오고 비밀번호 보이기를 하면 비밀 번호가 그대로 표시됩니다.
Firefox의 비밀 번호 보이기
firefox 역시 쉽게 노출이 됩니다.
도구 > 설정 > 보안 탭에 들어가서 암호 저장 목록을 보니 구글의 크롬과 다를바 없네요.
자주 들어가는 사이트에 아이디와 비밀번호 치기 귀찮아서 비밀번호를 저장해 두었는데 너무나 쉽게 보이니 황당하기까지 하네요.
그래도 비밀 번호는 암호화해서 보관이 될줄 알았는데 텍스트 그대로 노출이 되다니!
황당 그 자체입니다.
구글에서 보안을 이렇게 심하게 신경쓰지 않고 있었다니 놀라울뿐입니다.
다음은 머니투데이의 구글 크롬, 비빌번호 노출에 무방비라는 기사 내용입니다.
기사 내용 보기
인터넷 웹 브라우저 시장의 새로운 바람을 일으키고 있는 구글의 '크롬'과 모질라재단의 '파이어폭스'가 로그인 정보를 고스란히 노출하고 있는 것으로 드러났다.
특히 이같은 사실이 제대로 홍보되지 않아 무심코 로그인 정보를 저장했다가 개인정보가 유출되는 낭패를 겪을 수 있다는 지적이 끊임없이 제기되고 있다.
◇훤히 보이는 아이디와 비밀번호
2일 관련업계에 따르면 크롬과 파이어폭스는 로그인 과정에서 저장된 아이디와 비밀번호를 간단한 조작만으로도 확인할 수 있는 것으로 나타났다.
예를 들어, 파이어폭스는 '도구' 메뉴에서 '암호 저장 목록'을 선택한 뒤 '암호 보이기'를 클릭하면 특정 사이트의 아이디와 비밀번호를 여과없이 살펴볼 수 있다.
크롬도 상황은 다르지 않다. '옵션' 메뉴에서 '저장된 비밀번호 보기'를 선택하면 아이디가 나타나는데, 아이디를 선택한 뒤 '비밀번호 표시'를 클릭하면 비밀번호까지 노출된다.
물론 모든 사이트의 아이디와 비밀번호가 노출되는 것은 아니다. 로그인 과정에서 아이디와 비밀번호를 저장하겠다는 동의가 이뤄진 사이트의 경우로 한정된다.
◇개인정보 유출위험에 사용자들 "불안"
사용자의 동의를 구했다고 하지만 로그인 정보를 그대로 노출한다는 것은 개인정보 유출로까지 이어질 우려가 있다.
사용자들이 악용할 가능성이 크기 때문이다. 특히 사람들의 이용이 잦은 공용 컴퓨터나 PC방의 컴퓨터가 타깃이 될 수 있다. 누군가 악의로 이들 웹 브라우저를 기본 브라우저로 설정할 경우 언제든지 타인의 로그인 정보를 '훔쳐' 볼 수 있다.
더욱이 로그인 정보를 확인하는 기능에 대한 홍보 부족도 문제로 지적된다. 다른 사람이 자신의 로그인 정보를 확인할 수 있다는 사실을 모르는 사용자들이 무심코 로그인 정보를 저장할 수 있기 때문이다.
정김경숙 구글코리아 상무는 "공유를 하더라도 다른 계정으로 크롬에 접속할 수 있기 때문에 (로그인 정보 확인) 기능이 바뀔 가능성은 적다"며 "사용자들과 커뮤니케이션을 강화하겠다"고 말했다.
◇피해를 방지하려면?
이같은 로그인 정보 확인 기능은 선택사항이다. 크롬이나 파이어폭스 모두 비밀번호를 저장하지 않도록 설정을 변경할 수 있다.
그러나 로그인 정보를 확인하는 기능이 모두 기본 설정으로 돼 있어 사용자들이 직접 설정을 바꾸지 않는 이상 개인 정보 노출 가능성은 여전히 열려 있다. 따라서 공용 컴퓨터나 PC방에서 크롬과 파이어폭스를 이용할 경우 설정을 변경하는 것이 안전하다.
실제로 구글 크롬의 경우 약관에는 "귀하는 서비스 액세스에 사용하는 계정과 관련된 비밀번호의 보안을 유지할 책임이 귀하에게 있음을 인정하고 이에 동의합니다"라고 명시돼 있다. 결국 사용자들이 '알아서' 설정을 변경해야 하는 것이다.
하지만 반론의 여지도 많다. 업계 관계자는 "로그인 정보를 확인하는 기능이 있다는 사실을 사용자들에게 제대로 알리지도 않고 약관을 통해 책임을 운운하는 것은 무책임한 처사"라고 지적했다.
비밀번호 자동완성을 사용하면서 락없이 자리를 비우는 자체가 더 근본적인 문제라고 생각하는데요...
보안 문제는 프로그램이나 서비스를 제공하는 업체에만 책임이 있는 것이 아니라 그걸 쓰는 사람도 책임이 있습니다.
제공 업체에서는 보안 문제가 발생하지 않도록 프로그램이나 서비스를 제공해야하고, 쓰는 사람도 보안 관련해서는 최소한의 행동을 해야 합니다.
그런데 사용자는 이런 보안 문제에 대해 크게 신경을 쓰지 못하고 그런 행동 자체가 보안에 노출된다는 것을 알지 못하는 것입니다.
비밀 번호 자동 완성이 비밀 번호를 자동으로 입력해 주는 편리한 기능인 줄 알지만 이게 아이디와 비밀 번호를 그냥 보여주는 것인지는 알지 못한다는 점이 문제가 있지요.
저는 자리를 비울 때 <Win+L>로 꼭 잠그고 나가고, 일정 시간동안 반응하지 않으면 화면 보호기가 동작하고 다시 들어올 땐 암호가 동작하게 만들어 쓰고 있습니다. 개인도 신경쓰지만 회사에서도 지속적으로 보안 쪽에 신경을 쓰라 하기 때문이죠.
윈도 부팅할 뿐만 아니라 시스템 부팅 때 CMOS 암호를 입력하게 요구하기도 합니다. 이렇게 하는 것도 꽤 강력하지만 그렇다고 보안 문제를 해결할 수 없습니다.
그래서 문서 보안까지도 신경쓰는 처지죠. 문서가 외부로 나가는 순간 읽을 수도 없게 만들어 버리는 것입니다.
내가 잘하고 있으니까로 한다면 이런 문서 보안과 같은것이 의미가 없지 않을까 합니다.
더군다나 비밀번호를 보여지게 하는 것이 좋은 점도 있는 게, 막상 자신이 특정 사이트의 비밀번호를 까먹었을 때는 손쉽게 확인할 수 있으니까요.
XP에서나 비스타에서도 자리를 비울 때 기본적으로 화면 보호기가 동작하게 만들어져 있습니다. 기본으로 동작하는 시간은 기억이 나지 않는데 약간 좀 긴 시간이 아니었나 합니다. 그리고 화면 보호기가 동작하더라도 그건 화면보호를 위한 용도이고 다시 키보드나 마우스만 움직이면 그냥 화면이 보입니다.
사용자가 보안을 생각하고있다면 몇가지 조치를 취할 것입니다. 하지만 그런 조치를 취하지 않는 분들이 더 많고 그런 분들도 이런 해킹에 너무나 쉽게 노출되지 않도록 만들 필요가 있는 것이지요.
보안과 편리는 서로 상충되는 부분이 많습니다. 편리를 추구하다보면 보안에 허술해 지는 것이지요.
비밀번호 까 먹었을 때 알기 편한 것 좋습니다. 하지만 그 비밀 번호를 알아채기 위해 텍스트 형태로 보여주는 것은 아주 심각한 문제입니다.
만약에 다음이나 네이버가 보안 문제에 철통같이 신경쓰고 있어서 해킹의 위험이 없다. 직원들도 보안에 신경 쓰게 관리를 하고 있다.
그런데 아이디와 암호는 텍스트로 저장된다.
그렇다면 네이버나 다음을 믿고 쓰실 수 있겠는지요?
DB나 파일에 로그인 정보가 그대로 '텍스트'로 저장이 된다면 큰 위험이겠죠. (물론 그 정보가 암호화 되어 있다고 하더라도 항상 크래킹의 가능성은 존재합니다만) 그렇지만, 정보자체는 암호화 되어서 저장되고 단순히 '사용자'에게 정보 그대로 보여지는 것은 (보여지지 않도록 선택할 수도 있고, 마스터 비밀번호로 아주 잠궈버릴 수도 있죠) 사용자의 편의를 배려한 '도구'라고 생각합니다.
아무래도, 제가 제일 걱정하는 부분은, 모르는 부분이 있으면 배워서 나은 방향으로 나아가야지, 무조건 '안된다' 하는 생각들이에요. 보안은 누구 한쪽의 탓만하기엔 너무나도 복잡한 분야라고 생각되거든요.
아이디와 비밀번호는 기본 값으로 저장되고
그 내용을 누구나 볼 수 있으니
순간 실수하면 의도하지않게 놓치게 된다는 뜻입니다.
트랙백에서 말씀하신 것처럼 PC방에서 사용할 때
ID 저장창과 비밀번호 입력 후 저장창이 뜨는데
사람마다 반응이 달라서 아니오를 누를 수도 있지만
저장을 하는 분도 상당 수가 있다는 뜻입니다.
그런데 사용자는 암호가 텍스트로 보일 수 있다는 점은 전혀 모릅니다.
그리고 어떻게 지워야하는지도 전혀 모르고요.
물론 공부하면 알겠지만 일반인이 그걸 알기는 어려울겁니다.
그걸 다른 사람이 와서 그 페이지에 접속하면 그 페이지의 모든 것을 알 수 있게 됩니다.
메일이라면 메일 내용을 볼 수 있고요.
심지어 사이트 주소와 암호까지 있으니 그걸 적으면
다른 장소에서도 거리낌 없이 사용이 가능해지겠지요.
그리고 그 사람인척 활동도 할 수 있을것이고요.
최소한 편리한 기능을 지원하는 것이더라도
암호화한 내용이 텍스트로 보여지는 것은 너무 심한 듯 합니다.
암호를 까먹었다면 그 홈페이지의 암호 찾기 기능을 이용하는게 더 안전하지요.
브라우저 시장의 대부분을 IE가 차지하고 있습니다.
그런데 반대로 FF가 전체 시장의 90%를 차지하고 있다고하였을 때
(상대적으로 내 PC에서는 위험이 적지만) PC방이나 기타 장소 등 여러 사람이 쓰는 곳에서 이런 일들이 실제로 일어난다면 ....
스크린세이버 걸지 않나요^^
그리고 자리를 비울 때 화면 보호기도 그냥 화면 보호기 용도인 경우가 많습니다. 화면을 잠그는 용도가 아니지요. 윈도 기본 값은 암호를 묻지 않는 것일 겁니다. 화면 보호기가 동작하는 시간도 길구요.
신경을 쓴다고하지만 갑자기 누가 부르거나 이야기하다가 자리를 비울 때면 화면을 잠그지 못하는 경우가 자주 발생합니다. 전 가끔 있습니다.
사용자도 책임을져야할 부분도 있지만 그걸 만드든데에서도 책임을 져야한다는 뜻이지요.
도로에 가드레일 만들어둔 것도 운전자가 운전만 똑바로 잘하면 되지만 가끔 의도하지 않게 실수하는 경우가 생기고 그걸 방지하기 위해 만들어둡니다. 프로그램도 그래야하지 한다고 생각이 듭니다.
그만큼 입력하기 귀찮을 정도로 자주가는 사이트라면 비밀번호를 잊어버릴 리도 없고.
어떻게 보면 편의를 위한 도구를 모르고 사용하기 때문에 독이 되는 경우라고 생각합니다.
그러다보니 보안 대책을 세우면 불편해지고
편리하게하다보면 쉽게 구멍이 생기고
구글에서 이렇게 텍스트로 암호를 보여준다는 사실에..
firefox는 아닌줄 알았는데 해보았는데 정말 그렇군요.
sonamu님 말처럼 사용자에게 편리함을 제공하는건 좋지만
텍스트로 보여준다는것이 정말 황당합니다.
컴퓨터를 잘 아는 사람들은 이 사실을 주의하고 자리를 비울때 자체
락을 한다거나 다른 방법을 취하겠지만, 우리나라 국민중에 모르는 사람이 태반일 것입니다. 우리 부모님이나 어르신들이 과연 알까요?
물론 지금 그분들은 IE만 쓰시고 다른 브라우저를 쓰고 계시진 않겠지만
크롬과 firefox가 더욱 성장하여 많은 일반사람이 쓴다고 하면 큰 문제가 될 듯 하군요..
FF나 크롬이 더 많은 사용자가 쓰게되면 발생 빈도가 높아질 것입니다.
대부분 보안이 중요하다고 생각하나 자신이 당한다고는 거의 생각을 못하지요.
저도 자리를 비울 때 PC를 잠그지만 가끔 그렇지 못할 때도 종종 있습니다.