🔓 브라우저에 비밀번호 저장하면 안 되는 진짜 이유
“크롬에 저장하면 편한데 뭐가 문제야?” — 저도 처음에는 그렇게 생각했어요. 하지만 2025년 보안 리포트에 따르면, 정보 탈취형 악성코드(Infostealer)의 78%가 브라우저 저장 비밀번호를 1순위 타깃으로 삼고 있어요. 크롬이든 엣지든, 브라우저에 저장된 비밀번호는 OS 로그인만 뚫리면 평문으로 추출할 수 있거든요.
2026년 2월, 마이크로소프트는 엣지 브라우저의 마스터 비밀번호 기능을 단계적으로 폐지한다고 발표했어요. 새 마스터 비밀번호를 생성할 수 없고, 기존 설정도 향후 제거될 예정이에요. 브라우저 업체조차 자체 비밀번호 관리 기능의 한계를 인정한 셈이죠.
그럼 브라우저 저장 방식은 구체적으로 어떤 점이 위험할까요?
🔍 Root Cause: 브라우저 내장 비밀번호 관리자는 브라우저 프로세스 메모리에 복호화된 자격 증명을 로드해요. 전용 앱은 별도 샌드박스 프로세스에서 암호화 금고를 운영하기 때문에 공격 표면(Attack Surface)이 근본적으로 달라요. 실제로 RedLine, Raccoon 같은 Infostealer 악성코드는 크롬의
Login DataSQLite 파일을 직접 읽어서 비밀번호를 추출해요.
브라우저 내장 관리자의 구체적인 취약점을 정리하면 이래요:
- PC에 로그인한 상태면 누구나 비밀번호 열람 가능 — 설정 → 비밀번호 관리자에서 바로 확인돼요
- 크로스 브라우저 동기화 불가 — 크롬에 저장한 비밀번호를 사파리에서 쓸 수 없어요
- 2FA 코드, 보안 메모 기능 없음 — 비밀번호 저장만 가능하고 부가 보안 기능이 빈약해요
- 유출 감지 기능 제한적 — 전용 앱의 Watchtower, 다크웹 모니터링 수준에 못 미쳐요
- 비밀번호 공유 불가 — 가족이나 팀과 안전하게 자격 증명을 공유할 방법이 없어요
그래서 전용 비밀번호 관리 앱이 필요해요. 비밀번호 관리 앱은 별도의 암호화 금고에 모든 자격 증명을 저장하고, 마스터 비밀번호 하나로 관리하는 도구예요. 오늘은 가장 대표적인 3종 — Bitwarden, 1Password, 삼성패스 — 을 직접 사용해본 경험을 바탕으로 비교해 볼게요.
📊 Bitwarden vs 1Password vs 삼성패스 — 핵심 비교표
⚙️ 기능·가격·보안 한눈에 비교
세 앱의 핵심 스펙을 한 테이블로 정리했어요. 실제로 설정해보니 스펙 시트만으로는 체감이 안 되는 부분도 있지만, 일단 객관적 수치부터 비교해 봐요.
| 항목 | Bitwarden | 1Password | 삼성패스 |
|---|---|---|---|
| 가격 | 무료 (프리미엄 $10/년) | $2.99/월 ($36/년) | 무료 |
| 플랫폼 | Windows, Mac, Linux, iOS, Android, 웹 | Windows, Mac, iOS, Android | 삼성 기기 전용 |
| 브라우저 확장 | 크롬, 파이어폭스, 엣지, 사파리 등 | 크롬, 파이어폭스, 엣지, 사파리 등 | 삼성 인터넷만 |
| 오픈소스 | ✅ 전체 공개 | ❌ 비공개 | ❌ 비공개 |
| 암호화 | AES-256 + Argon2id | AES-256 + 시크릿 키 | 삼성 Knox (하드웨어) |
| 2FA(TOTP) 저장 | ✅ (프리미엄) | ✅ | ❌ |
| 패스키 지원 | ✅ | ✅ | ✅ (제한적) |
| 가족 공유 | 6명 $40/년 | 5명 $4.99/월 | ❌ |
| 셀프 호스팅 | ✅ (Vaultwarden) | ❌ | ❌ |
| 생체인증 | ✅ | ✅ | ✅ (지문·홍채·얼굴) |
| CLI 지원 | ✅ (bw CLI) | ✅ (op CLI) | ❌ |
| 보안 감사 | 연례 제3자 감사 공개 | SOC2 Type II | Knox 인증 |
💡 팁: 개발자라면 CLI 지원 여부를 꼭 확인하세요. Bitwarden의
bwCLI나 1Password의opCLI를 사용하면 스크립트에서 비밀번호를 안전하게 주입할 수 있어요. 맥북 초기 설정 자동화에 특히 유용해요.
🔐 암호화 방식 심층 비교
세 앱 모두 AES-256 기반이지만, 키 파생(Key Derivation) 방식에서 결정적인 차이가 나요. 보안의 핵심은 “서버가 해킹당했을 때 내 비밀번호가 안전한가”인데, 이 질문에 대한 답이 앱마다 달라요.
- Bitwarden — 2023년부터 Argon2id를 기본 KDF로 채택했어요. 기존 PBKDF2 대비 GPU 브루트포스 공격에 훨씬 강해요. 메모리 집약적 연산이라 병렬 공격 비용이 기하급수적으로 올라가거든요
- 1Password — 마스터 비밀번호 + 128비트 시크릿 키 이중 구조예요. 서버가 해킹당해도 시크릿 키 없이는 복호화가 불가능해요. 이 설계가 LastPass 유출 사건(2022) 이후 더 주목받고 있어요
- 삼성패스 — Knox TEE(Trusted Execution Environment)에서 키를 관리해요. 하드웨어 수준의 보호라서 소프트웨어 공격으로는 키 추출이 사실상 불가능해요. 단, 삼성 생태계에 완전히 묶이는 트레이드오프가 있어요
🛡️ Bitwarden — 무료인데 이 정도면 놀라운 수준
왜 오픈소스가 보안에 유리한가
Bitwarden은 클라이언트와 서버 코드가 전부 GitHub에 공개되어 있어요. “코드가 공개되면 해커한테 더 취약한 거 아니야?”라고 생각할 수 있지만, 보안 업계의 합의는 정반대예요.
⚙️ Rationale: 오픈소스 보안 소프트웨어는 커뮤니티 다수의 눈(Many Eyes)이 코드를 검토해요. Bitwarden은 매년 Cure53 등 독립 보안 업체의 감사를 받고 결과를 전문 공개하고 있어요. 비공개 코드의 “Security through Obscurity”보다 투명한 검증이 실질적으로 더 안전하다는 건 OpenSSL, Linux 커널 등 수많은 사례가 증명해요.
직접 써봤더니 무료 플랜만으로도 일상 사용에 부족함이 없었어요. 비밀번호 무제한 저장, 기기 무제한 동기화, 비밀번호 생성기까지 전부 무료거든요. 사실 다른 서비스의 유료 플랜과 비교해도 뒤지지 않는 수준이에요.
✅ 장점 상세
- 무료 플랜이 파격적 — 비밀번호 무제한, 기기 무제한 동기화가 무료. 경쟁사 무료 플랜(대부분 1기기 제한)과 비교가 안 돼요
- 모든 플랫폼 커버 — Windows, Mac, Linux 데스크톱 앱 + iOS, Android + 주요 브라우저 확장 전부 지원. Linux까지 네이티브 앱이 있다는 게 큰 장점이에요
- 셀프 호스팅 — Vaultwarden(경량 호환 서버)을 Docker로 올리면 개인 서버에서 운영 가능. 데이터 주권이 중요하거나 회사 내부망에서 사용해야 하는 경우에 핵심 기능이에요
- Send 기능 — 암호화된 텍스트·파일을 일회성 링크로 공유 가능. 만료 시간과 접근 횟수도 설정할 수 있어서 비밀번호 공유에 안전해요
- Passkey Provider — 2024년부터 패스키 저장소로 사용 가능. 향후 비밀번호 없는 인증으로 전환할 때도 자연스럽게 대응돼요
❌ 단점과 워크어라운드
- UI가 투박해요 — 1Password의 세련된 디자인에 비하면 확실히 아쉬워요. 하지만 최근 UI 리뉴얼을 진행 중이고, 기능적으로는 전혀 부족함 없어요
- 자동 입력 불안정 — 특정 사이트(특히 국내 사이트)에서 로그인 폼 인식이 안 되는 경우가 있어요. 이때는
Ctrl+Shift+L단축키로 수동 입력하면 해결돼요 - TOTP는 프리미엄 — 2FA 코드 저장은 연 $10 프리미엄 필요. 무료로 쓰려면 별도 인증 앱(Google Authenticator, Aegis 등) 병행하면 돼요
🔐 1Password — 편의성과 보안의 균형점
시크릿 키 — 다른 앱에 없는 핵심 차별점
1Password의 가장 독특한 보안 기능은 시크릿 키(Secret Key)예요. 계정 생성 시 128비트 랜덤 키가 발급되고, 이 키는 사용자 기기에만 저장돼요. 서버에는 전송되지 않아요.
처음에는 “시크릿 키까지 관리해야 하다니 번거롭네”라고 생각했지만, 2022년 LastPass 서버 유출 사건을 보면서 생각이 바뀌었어요. LastPass는 서버가 뚫려서 암호화된 금고 데이터가 유출됐는데, 마스터 비밀번호가 약한 사용자는 실제로 피해를 입었거든요. 1Password 구조라면 시크릿 키 없이는 브루트포스 자체가 불가능했을 거예요.
🚀 Optimization: 1Password의 시크릿 키를 안전하게 보관하려면 Emergency Kit PDF를 인쇄해서 물리적으로 보관하세요. 디지털 백업(클라우드 드라이브 등)은 유출 위험이 있어요. 실제로 설정해보니 Emergency Kit을 출력해서 집 금고에 넣어두는 게 가장 확실했어요. 은행 대여 금고도 좋은 선택이에요.
✅ 장점 상세
- UI/UX 최상급 — 항목 정리, 검색, 자동 입력 모두 매끄러워요. IT에 익숙하지 않은 가족에게 추천했는데 별도 교육 없이 바로 사용하더라고요
- Watchtower — 유출된 비밀번호, 약한 비밀번호, 2FA 미설정 사이트를 대시보드에서 한눈에 보여줘요. Have I Been Pwned 데이터베이스와 연동돼요
- 가족/팀 공유 — 공유 금고(Shared Vault)로 와이파이 비밀번호, OTT 계정 등을 안전하게 공유 가능. 카톡으로 비밀번호 보내는 것보다 훨씬 안전해요
- 여행 모드 — 국경 통과 시 특정 금고를 기기에서 임시 제거. 입국 심사에서 기기 검사를 받아도 민감한 업무 자격 증명이 노출되지 않아요
❌ 단점
- 무료 플랜 없음 — 14일 체험 후 월 $2.99 결제 필수. 연간으로 하면 약 $36/년이에요
- 비공개 소스 — SOC2 Type II 보안 감사를 받지만, 코드 자체는 공개되지 않아서 독립적 검증이 어려워요
- Linux 네이티브 앱 미흡 — Electron 기반이라 메모리를 300~500MB 정도 먹어요. 경량 환경에서는 부담될 수 있어요
📱 삼성패스 — 갤럭시 생태계 안에서는 최강
Knox TEE 기반 하드웨어 보안의 강점
삼성패스는 소프트웨어 암호화가 아니라 Knox TEE(Trusted Execution Environment)라는 하드웨어 보안 영역에 자격 증명을 저장해요. 앱이 루팅을 감지하면 자동으로 데이터를 잠그고, 물리적으로 칩을 분리해서 분석하려 해도 데이터가 파괴되는 구조예요.
갤럭시 S24 울트라에서 직접 써봤더니, 삼성 인터넷 브라우저와의 연동은 정말 매끄러웠어요. 지문 한 번이면 로그인 끝. 네이버, 쿠팡 같은 국내 사이트에서도 잘 동작하더라고요. 하지만 크롬으로 전환하는 순간 삼성패스는 무용지물이 됐어요. 이 부분이 가장 큰 한계예요.
- 완전 무료 — 삼성 기기라면 추가 설치·비용 없이 바로 사용 가능
- 생체인증 통합 — 지문, 홍채, 얼굴 인식으로 빠른 인증. 기기 수준 생체인증이라 속도가 빨라요
- 패스키 지원 — 2024년부터 FIDO2 패스키 저장 가능 (단, 삼성 인터넷에서만)
- 주소·카드 정보 자동 입력 — 비밀번호 외에 결제 정보도 관리할 수 있어요
⚠️ 주의: 삼성패스에만 의존하면 벤더 락인(Vendor Lock-in) 리스크가 심각해요. 아이폰으로 기기 변경하거나 PC에서 작업해야 할 때 비밀번호 이전이 매우 불편해요. 내보내기 기능이 제한적이라 수동으로 하나씩 옮겨야 하는 경우도 생겨요. 크로스 플랫폼이 조금이라도 필요하다면 Bitwarden이나 1Password를 메인으로 두세요.
삼성패스 vs 전용 앱 기능 비교
| 기능 | 삼성패스 | 전용 앱 (Bitwarden/1Password) |
|---|---|---|
| PC 연동 | ❌ | ✅ |
| 크로스 브라우저 | 삼성 인터넷만 | 크롬, 사파리, 엣지 등 전부 |
| 2FA(TOTP) 저장 | ❌ | ✅ |
| 보안 메모 | ❌ | ✅ |
| 비밀번호 공유 | ❌ | ✅ (공유 금고) |
| 내보내기/가져오기 | 제한적 | CSV, JSON 등 다양 |
| 다크웹 유출 감지 | ❌ | ✅ |
🔑 패스키 시대에도 전용 관리 앱이 필요한 이유
패스키의 현재와 한계
패스키(Passkey)는 FIDO Alliance가 밀고 있는 차세대 인증 표준이에요. 비밀번호 없이 생체인증이나 기기 잠금으로 로그인하는 방식이죠. 구글, 애플, 마이크로소프트, 깃허브 등 주요 서비스가 이미 지원하고 있어요.
하지만 현실은 아직 과도기예요. 완전한 비밀번호 제거까지는 3~5년은 더 걸릴 거라는 게 업계 전망이에요.
- 패스키 지원 — 구글, 애플, MS, GitHub, Amazon, PayPal 등 글로벌 메이저
- 비밀번호만 지원 — 대부분의 국내 사이트, 은행, 관공서, 중소 서비스
- 혼합 지원 — 패스키 + 비밀번호 병행 (대부분의 전환 중인 사이트)
💡 팁: Bitwarden과 1Password 모두 패스키 저장을 지원해요. 지금 비밀번호 관리 앱을 도입하면 패스키 전환기에도 자연스럽게 대응할 수 있어요. 패스키가 보편화되더라도 패스키 저장소 역할로 계속 필요하기 때문에, 지금 투자하는 게 미래에도 유효해요.
개발자를 위한 CLI 활용법
개발자라면 비밀번호 관리 앱의 CLI를 적극 활용할 수 있어요. SSH 키, API 토큰, 환경 변수를 안전하게 관리하는 데 비밀번호 관리 앱이 핵심 도구가 돼요.
- Bitwarden CLI —
bw get password "github-token"으로 스크립트에서 토큰을 안전하게 주입 - 1Password CLI —
op read "op://Vault/Item/password"로 환경 변수 세팅.op run으로 .env 파일 없이 실행도 가능 - Git 커밋 서명 — 1Password에서 SSH 키를 관리하고 커밋 서명까지 자동화 가능
- CI/CD 통합 — GitHub Actions에서
opCLI로 시크릿을 런타임에 주입하면 리포지토리에 민감 정보를 저장하지 않아도 돼요
크롬 확장 프로그램과 연동하면 브라우저에서의 사용이 더 편리해져요. 크롬 확장 프로그램 추천 글에서 보안 관련 확장도 함께 확인해 보세요.
🚀 시작하기 — 마이그레이션 가이드
브라우저 비밀번호 내보내기
기존 브라우저에 저장된 비밀번호를 옮기는 과정은 10분이면 끝나요. 각 브라우저별 내보내기 경로를 정리했어요:
- 크롬 — 설정 → 비밀번호 관리자 → ⋮ 메뉴 → 비밀번호 내보내기 (CSV)
- 엣지 — 설정 → 비밀번호 → 비밀번호 내보내기 (CSV)
- 사파리 — 설정 → 비밀번호 → ⋯ 메뉴 → 모든 비밀번호 내보내기 (CSV)
- 파이어폭스 — 설정 → 비밀번호 → ⋯ → 로그인 정보 내보내기 (CSV)
내보낸 CSV 파일을 Bitwarden이나 1Password의 가져오기(Import) 메뉴에서 선택하면 자동으로 매핑돼요.
⚠️ 주의: CSV 파일에는 비밀번호가 평문(Plain Text)으로 저장돼요. 가져오기가 끝나면 즉시 CSV 파일을 완전 삭제하세요. macOS라면
rm후 휴지통 비우기, Windows라면 Shift+Delete 후 디스크 정리를 권장해요. 실수로 클라우드 드라이브에 동기화되지 않았는지도 꼭 확인하세요.
마이그레이션 후 꼭 해야 할 5가지
- 중복 비밀번호 정리 — 같은 비밀번호를 여러 사이트에 쓰고 있다면 즉시 변경. Bitwarden과 1Password 모두 중복 감지 기능이 있어요
- 마스터 비밀번호 설정 — 최소 16자, 대소문자+숫자+특수문자 조합. 이 비밀번호만은 반드시 기억해야 해요. 비밀번호 관리 앱의 보안은 이 하나의 키에 모든 것이 달려 있거든요
- 2FA 활성화 — 비밀번호 관리 앱 계정 자체에 2단계 인증을 반드시 설정하세요. 마스터 비밀번호가 유출되더라도 2FA가 마지막 방어선이에요
- 비상 복구 키 보관 — Recovery Kit이나 Emergency Kit을 출력해서 물리적으로 안전한 곳에 보관
- 브라우저 저장 기능 비활성화 — 전용 앱으로 완전히 전환한 후에는 브라우저의 “비밀번호 저장하시겠습니까?” 팝업을 꺼두세요
맥북 초기 설정 가이드에서도 비밀번호 관리 앱 설치를 첫 번째 단계로 추천하고 있어요. 새 기기를 세팅할 때 가장 먼저 해야 할 일이에요.
✅ 상황별 추천 요약 + 체크리스트
🎯 누구에게 어떤 앱이 맞을까?
| 이런 분이라면 | 추천 앱 | 이유 |
|---|---|---|
| 비용을 들이고 싶지 않은 분 | Bitwarden | 무료 플랜이 가장 강력 |
| PC + 모바일 크로스 플랫폼 필수 | Bitwarden 또는 1Password | 모든 기기에서 완벽 동기화 |
| 편의성이 최우선인 분 | 1Password | UI/UX 최고, 가족도 쉽게 적응 |
| 가족과 함께 관리하는 분 | 1Password | 가족 플랜 + 공유 금고가 편리 |
| 갤럭시만 쓰고 PC 안 쓰는 분 | 삼성패스 | 추가 설치 없이 생체인증 로그인 |
| 개발자/인프라 엔지니어 | Bitwarden | 오픈소스, CLI, 셀프 호스팅 지원 |
| 해외 여행이 잦은 분 | 1Password | 여행 모드로 민감 데이터 즉시 제거 |
| 보안이 극도로 중요한 분 | Bitwarden (셀프 호스팅) | 데이터 주권 100% 확보 |
📋 도입 체크리스트
- ☐ 브라우저 저장 비밀번호 CSV로 내보내기
- ☐ 앱 설치 (모바일 + 데스크톱 + 브라우저 확장)
- ☐ CSV 가져오기 완료
- ☐ CSV 파일 완전 삭제 (클라우드 동기화 여부도 확인)
- ☐ 마스터 비밀번호 설정 (16자 이상, 고유한 조합)
- ☐ 계정에 2FA 활성화
- ☐ 중복 비밀번호 식별 및 변경
- ☐ 브라우저 내장 비밀번호 저장 기능 비활성화
- ☐ 비상 복구 키(Recovery/Emergency Kit) 출력 및 안전 보관
- ☐ 가족/팀원에게도 도입 권유 (보안은 가장 약한 고리가 결정)
📌 핵심: 어떤 앱을 고르든, 오늘 당장 브라우저에 저장된 비밀번호부터 전용 앱으로 옮기세요. 10분이면 끝나고, 보안 수준은 완전히 달라져요. 처음 시작한다면 Bitwarden 무료 플랜을 추천해요 — 비용 부담 없이 시작할 수 있고, 나중에 유료 전환이나 다른 앱으로의 마이그레이션도 쉬워요.
📎 참고 자료
답글 남기기