Microsoft Edge에 암호를 저장하는 경우 알아야 할 사항은 다음과 같습니다. 브라우저를 열 때마다 저장된 모든 비밀번호를 해독하고 일반 텍스트로 메모리에 로드하여 전체 세션 동안 유지됩니다. 즉, 비밀번호가 속한 사이트를 전혀 방문하지 않더라도 비밀번호가 기기 메모리에 보호되지 않은 상태로 남아 있다는 의미입니다.
보안 연구원인 Tom Rønning이 이 동작을 발견하여 Microsoft에 보고했습니다. 그러나 회사는 이러한 행위는 의도된 것이라고 반박했다.
Edge는 이러한 방식으로 비밀번호를 저장하는 유일한 Chromium 브라우저입니다.
Microsoft Edge는 Google Chrome을 지원하는 것과 동일한 오픈 소스 기반인 Chromium을 기반으로 구축되었습니다. 하지만 Chrome은 비밀번호를 매우 다르게 처리합니다. 자동 완성과 같이 실제로 필요한 순간에만 비밀번호를 해독합니다.
Chrome은 또한 복호화 키를 인증된 Chrome 프로세스에 연결하는 애플리케이션 바인딩 암호화(Application-Bound Encryption)라는 기능을 사용하므로 공격자가 메모리에서 비밀번호를 꺼내는 것을 훨씬 더 어렵게 만듭니다. 그러나 Microsoft Edge는 둘 다 그렇지 않습니다.
Rønning은 여러 Chromium 기반 브라우저를 테스트한 결과 시작 시 저장된 모든 비밀번호를 메모리에 로드하고 일반 텍스트로 남겨둔 유일한 브라우저가 Edge라는 사실을 발견했습니다.
Microsoft는 무엇을 말하며 걱정해야 합니까?
Microsoft는 CyberNews에 보낸 성명에서 사용자가 빠르게 로그인하는 데 도움이 되는 동작이 존재하며 이를 악용하려면 공격자가 이미 장치에 대한 관리 액세스 권한을 갖고 있어야 한다고 밝혔습니다.

보안 전문가들은 사용하는 브라우저에 관계없이 관리자 수준 액세스가 사실상 전체 시스템을 손상시킨다는 데 널리 동의합니다. 그럼에도 불구하고 사이버 보안 전문가들은 최신 인포스틸러 악성 코드가 특히 암호화된 저장소와 런타임 노출 사이의 창을 표적으로 삼아 메모리의 일반 텍스트 비밀번호를 실제 위험으로 만든다고 경고합니다.
보안 전문가의 실용적인 조언은 어떤 브라우저를 사용하든 일관됩니다. 브라우저에 비밀번호 저장을 완전히 중단하고 대신 전용 비밀번호 관리자로 전환하세요.
이 주제에 대해 더 알고 싶다면 아래를 참고하세요