한 노르웨이 연구자가 엣지에 비밀번호를 저장하면 브라우저가 시작 시 모든 자격증명을 복호화하고 사용자가 해당 사이트를 방문하지 않더라도 프로세스 메모리에 평문으로 상주시킨다는 사실을 엑스(X) 게시물을 통해 밝혔다.

톰 예란 쇤스테뷔세테르 뢰닝의 발견은 독일 IT 전문 매체 하이제닷데(Heise.de)에 의해 재현됐다. 비밀번호를 생성해 저장한 결과, 브라우저를 닫았다가 다시 열었음에도 비밀번호가 평문으로 확인됐다.

마이크로소프트는 이 발견에 태연한 반응을 보였다. 노르웨이 IT 전문 매체 이타비센닷노(Itavisen.no)에 따르면 “뢰닝이 이 사실을 신고한 후에도 마이크로소프트는 해당 동작이 ‘설계대로’라고 답했다.”

이타비센닷노는 뢰닝이 깃허브에 비밀번호가 메모리에 평문으로 저장된다는 사실을 사용자가 직접 확인할 수 있는 간단한 도구를 공개할 계획이라고 추가로 전했다.

마이크로소프트는 논평 요청에 응하지 않았다.

보안 컨설팅 전문 업체 보세론 시큐리티(Beauceron Security)의 최고경영자 데이비드 쉽리는 마이크로소프트의 대응을 강하게 비판했다. 기능이 아니라 책임 회피에 지나지 않는다는 것이다. 쉽리는 ‘설계대로 작동한다’는 말만큼이나 태도가 나쁘다며, 핵심은 편의성과 속도를 앞세워 완화할 가치가 없다고 판단한 부분에 노력을 쏟지 않는 것이라고 지적했다.

쉽리는 이 버그가 사이버 범죄자에게 열린 초대장이나 마찬가지라고 말했다. 또한, 악성코드가 시스템에 자리를 잡으면 어차피 손쓸 수 없다는 낡은 논리로 이 문제를 외면하는 것은 결국 사이버 범죄자에게 항복하는 것이나 다름없다고 비판했다. 정보 탈취자에게 아무런 제약 없이 활동할 기회를 열어주는 셈이라는 설명이다.

다른 브라우저는 이런 문제를 겪지 않는다. 예를 들어 구글 크롬은 보안 업계 권고에 따라 브라우저 데이터를 암호화하고 프로세스 메모리에 평문으로 저장되지 않도록 하는 앱 바운드 암호화(App Bound Encryption) 시스템을 적용하고 있다.

이 역시 완벽한 시스템은 아니다. 과거에 해커의 공격에 뚫린 적도 있다. 그러나 마이크로소프트의 버그는 악용하는 데 기술이 거의 필요 없다.

쉽리는 구글이 해냈다면 마이크로소프트가 엣지에서 못할 이유가 없다고 지적했다. 기술적 장벽이 아니라 의지의 문제라는 것이다. 엣지가 무료 브라우저인 만큼 보안에 최소한 이상의 노력을 기울일 유인이 없다는 것이 쉽리의 진단이다.

마이크로소프트의 이런 태도를 감안할 때, 사용자는 더 안전한 별도의 비밀번호 관리 도구를 찾아보는 것이 나을 수 있다.
dl-itworldkorea@foundryco.com