brunch

You can make anything
by writing

C.S.Lewis

by 땅콩항공 호갱 Jan 14. 2020

Bitwarden

오픈소스 기반의 강력한 무료 암호 관리앱

얼마 전 많은 사람들이 기대하던 디즈니+ 서비스가 시작되었다. 그런데 서비스가 개시되고 얼마 지나지 않아 수천 명에 이르는 사용자들의 계정이 해킹당했다는 소식이 알려졌다1. 이런 대규모 서비스가 시작하자마자 뚫렸다니. 그것도 디즈니같은 대기업의 서비스가?

자세한 내막을 보면 피해를 입은 사용자들 중 상당수가 다른 사이트와 같은 암호를 사용했다고 한다. 즉 해커들은 디즈니의 서비스를 뚫은 것이 아니라 요즘 흔히 말하는 ''사회 공학'' 기법을 통해 다른 사이트의 암호를 알아낸 뒤 디즈니+의 암호를 유추해낸 것으로 보인다. 비슷하거나 같은 암호를 돌려쓰는 사용자들은 이렇게 뚫렸을 가능성이 농후하다[1].

[1]    https://www.zdnet.com/article/thousands-of-hacked-disney-accounts-are-already-for-sale-on-hacking-forums/


디즈니+ 해킹 사건은 왜 같은 암호를 여러 사이트에 사용하면 안 되는지 잘 알려주는 사례다. 그렇다면 사이트마다 조금씩 다른 암호를 사용하면 되지 않을까? 그러나 여러 보안 전문가들은 숫자만 조금씩 바꾸거나 대소문자를 조금씩 바꾸는 식으로는 아무 의미가 없다고 말한다. 군대식으로 한 곳에서는 !QAZ@WSX를 암호로 쓰고 다른 곳에서는 1qaz2wsx를 써봐야 아무런 의미가 없다는 말이다. 참고로 해당 암호는 국가 기밀이다.

각 암호를 연관성 없이 완전히 다르게 만들어야 의미가 있다는 말인데, 우리의 뇌는 그런 것을 다 기억하기 힘들다. 이런 어려움을 해결해주는 앱이 Bitwarden 같은 암호 관리 앱이다. 사이트마다 고유한 무작위의 강력한 암호를 새로 제시해주며, 규칙도 정할 수 있고, 이 모든 암호를 강력하게 암호화하여(보통 256비트로 암호화한다) 안전하게 저장해준다. 사용자는 비밀번호 관리 앱의 계정에 필요한 마스터 암호만 기억하면 된다. 이러면 사용자는 모든 암호를 기억할 필요 없이 마스터 암호만 기억하면 이용하는 모든 사이트에 강력하고 서로 다른 암호를 설정할 수 있다.



8bit Solutions - Bitwarden


장점

- 무료

- 편리한 인터페이스

- 멀티 플랫폼

- Decker를 통한 on-premise 설치 가능


단점

- Windows Hello 및 macOS Touch ID 미지원


점수: 9/10



오픈소스의 무료 암호 관리 앱


Bitwarden의 가장 큰 특징은 오픈 소스에 주요 기능이 무료라는 점이다. 오픈 소스라 사용자들이 항시 코드를 점검하며 취약점을 확인할 수 있다. 또한 NAS나 개인 서버가 있는 사용자는 자체 서버를 구축하여 그곳에 데이터를 저장하고 사용할 수도 있고 없는 경우는 Bitwarden의 클라우드를 통해 이용할 수 있다.


다른 암호 관리자 앱들과 마찬가지로 PC의 경우 macOS, Windows, Linux 등의 OS를 지원하고, Safari, Chrome, Opera 및 Edge 등 주요 브라우저를 지원한다. iOS 및 Android도 당연히 지원한다. 브라우저 확장 프로그램의 경우 자동입력까지 지원한다. 다른 암호 관리 앱이나 브라우저 자체의 암호 관리 기능에서 암호를 불러올 수 있다. 기존의 앱에서 옮기고자 하는 암호들을 csv 등의 형태로 내보내서 가져오면 되는데, 특이하게도 데스크톱 앱 내에서 불러오는 것은 안되고 웹에서만 파일을 불러올 수 있다.


필수적인 기능들은 잘 구현이 되어 있지만 몇 가지 편의 기능들이 빠져있다. 예를 들어 데스크톱 버전에서는 생체 정보를 통한 로그인할 수 없다. Windows Hello나 Touch ID로 로그인할 수 없어 매번 마스터 암호를 치거나 PIN을 따로 설정해서 로그인해야 하는 불편함이 있다. 이 기능은 1Password 같은 타사 앱에서는 지원한다. 개발사에 문의해보니 Windows Hello로 해제하는 기능은 현재 개발 중이라고 한다.


Windows Hello 지원은 Hell로 갔다

유료 구독을 통해 추가 기능을 이용할 수도 있다. 1년에 $10를 내면 이중인증용(2FA) TOTP(시간 기반 일회용 비밀번호 알고리즘) 기능과 더불어 FIDO2 인증 암호 키나 Ubikey 같은 제품도 설정할 수 있으며, 1GB 암호화된 저장 공간이 주어진다. 타사의 구독료와 비교하면 매우 합리적이다.

또한 여러 사람과 함께 사용해야 하는 가족이나 팀, 기업을 위한 플랜도 상당히 저렴하게 구비되어 있다. 참고로 무료 계정으로는 2명까지 공유할 수 있다.








Bitwarden은 일반적인 사용자에게 필요한 기능이 모두 무료로 잘 구현된 강력한 암호 관리 앱이다. UI도 미려하진 않지만 불편함 없이 잘 짜여졌고, 암호 관리 앱으로서의 기능도 매우 충실하다. 또한 자체 서버를 구축해서 사용할 수 있어 비록 256비트로 암호화된다 하더라도 타사의 서버에 암호를 저장하기 싫은 사람들에게 매력적이다. 다만 Windows Hello나 Touch ID 같은 편의 기능을 지원하지 않아 다소 아쉽다.


빠진 기능도 있지만 그것 때문에 다른 앱, 특히나 비싼 유료 암호 관리 앱을 굳이 사용해야 할 이유는 없어 보인다.


매거진의 이전글 [iOS] Crystal
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari