Microsoft에 따르면 Edge가 비밀번호를 일반 텍스트로 저장하는 이유

마이크로소프트 엣지

랜스 휘트니/ZDNET

ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.


ZDNET의 주요 시사점

  • Microsoft Edge는 비밀번호를 RAM에 일반 텍스트로 저장합니다.
  • 이 문제는 Edge를 비밀번호 관리자로 사용하는 경우 발생합니다.
  • Microsoft는 이 동작이 버그가 아니라 기능이라고 말합니다.

Microsoft Edge를 사용하여 웹 사이트 암호를 저장하고 관리하시나요? 그렇다면 새로운 발견으로 인해 저장된 비밀번호의 안전과 보안에 대한 의문이 제기됩니다.

보안 연구원은 브라우저를 사용하여 관리할 때 Edge가 일반 텍스트 비밀번호를 메모리에 저장한다는 사실을 발견했습니다. 소셜 미디어 게시물에서 연구원 Tom Jøran Sønstebyseter Rønning은 프로세스가 어떻게 작동하는지 설명하고 실제로 작동하는 모습을 보여주는 비디오를 게시했습니다.

또한: 트로이 목마는 Microsoft Phone Link 앱을 악용하여 비밀번호를 훔칩니다.

Rønning은 “Edge에 비밀번호를 저장하면 브라우저는 시작 시 모든 자격 증명을 해독하고 이를 프로세스 메모리에 유지합니다.”라고 말했습니다. “이러한 자격 증명을 사용하는 사이트를 방문하지 않은 경우에도 이런 일이 발생합니다. 동시에 Edge에서는 비밀번호 관리자 UI에 동일한 비밀번호를 표시하기 전에 재인증을 요구하지만 브라우저 프로세스에는 이미 모든 비밀번호가 일반 텍스트로 포함되어 있습니다.”

Microsoft는 동작을 예상된 기능이라고 부릅니다.

Rønning은 이 동작을 감지하기 위해 자신이 만든 코드를 GitHub에 게시했습니다. EdgeSavedPasswordsDumper라고 불리는 이 코드는 Edge에서 Microsoft Password Manager를 사용하여 누군가 저장한 모든 자격 증명이 Edge 프로세스 메모리에 일반 텍스트로 저장된다는 것을 보여줍니다.

ZDNET과 공유한 성명에서 Microsoft는 이 동작을 인정했지만 이는 예상된 기능이며 장치가 이미 손상된 경우에만 위험을 초래할 수 있다고 말했습니다.

마이크로소프트 대변인은 성명을 통해 “보고된 시나리오에 설명된 대로 브라우저 데이터에 접근하려면 기기가 이미 손상됐어야 한다”고 밝혔다. “이 분야의 디자인 선택에는 성능, 유용성 및 보안의 균형이 필요하며 진화하는 위협에 대해 계속 검토하고 있습니다. 브라우저는 사용자가 빠르고 안전하게 로그인할 수 있도록 메모리의 비밀번호 데이터에 액세스합니다. 이는 애플리케이션에서 예상되는 기능입니다. 보안 위협으로부터 보호하려면 사용자가 최신 보안 업데이트와 바이러스 백신 소프트웨어를 설치하는 것이 좋습니다.”

또한: 단 한 번의 로그인도 잃지 않고 비밀번호 관리자를 전환하는 것이 가능하며 제가 이를 증명합니다.

귀하의 장치가 이미 손상되어야 한다는 Microsoft의 주장은 적어도 Rønning의 테스트에 따르면 사실로 보입니다. 비디오에 표시된 것처럼 이 프로세스는 공격자가 관리 권한이 있는 사용자 계정을 이미 손상시킨 후 일반 텍스트 비밀번호를 볼 수 있는 상태로 로그온한 모든 사용자 프로세스의 메모리에 대한 액세스 권한을 부여하는 것을 전제로 합니다.

Rønning은 Edge가 자신이 테스트한 방식으로 작동하는 유일한 Chromium 기반 브라우저라고 말했습니다. 반면, Google 크롬은 모든 비밀번호를 항상 메모리에 보관하는 대신 필요한 경우에만 자격 증명을 해독합니다. Rønning은 Chrome의 설계로 인해 공격자가 단순히 기기의 메모리를 읽어 저장된 비밀번호를 추출하는 것을 훨씬 더 어렵게 만들었다고 덧붙였습니다. 지금까지 이 취약점은 Edge에서 사용되는 Microsoft Password Manager에만 국한된 것으로 보입니다.

Rønning은 “Edge가 Chromium 기반임에도 불구하고 제가 테스트한 다른 Chromium 기반 브라우저 중 어느 것도 Microsoft Password Manager를 사용하여 암호를 저장하고 데이터를 자동 완성하지 않았습니다.”라고 말했습니다. “그게 Chromium 기반인지 의심스럽나요?”

또한: 이 5가지 중요한 Windows Defender 설정은 기본적으로 꺼져 있습니다. 최대한 빨리 켜세요.

Google이 브라우저의 일반 텍스트 비밀번호가 메모리에 노출되지 않도록 더 안전하게 보호할 수 있다면 Microsoft도 똑같이 할 수 있어야 하지 않을까요? Rønning의 게시물에 대한 응답으로 다른 사람은 자격 증명이 암호화된 형식으로 메모리에 저장될 수 있다고 말했습니다. 웹사이트에 로그인해야 하는 경우에만 암호가 해독되며 그 이후에는 즉시 삭제됩니다.

보안 제공업체인 BeyondTrust의 수석 보안 고문인 Morey Haber는 ZDNET에 “방어적인 관점에서 일반 텍스트 메모리에 비밀번호를 저장하는 것은 최소 권한, 제로 트러스트 및 보안 애플리케이션 설계 원칙을 위반하는 것입니다.”라고 말했습니다. “그냥 나쁜 생각일 뿐입니다. 사람이나 악의적인 프로세스가 메모리에서 비밀번호를 읽을 수 있다면 더 이상 보호된 비밀이 아닙니다. 이미 안전하지 않은 매체에 일반 텍스트로 저장되어 원칙적으로 이미 손상되었습니다.”

브라우저에 내장된 비밀번호 관리자를 사용할 때의 함정

Microsoft가 비밀번호 관리자의 작동 방식을 변경하기로 결정하지 않은 이상 Edge를 기본 브라우저로 사용하여 비밀번호를 관리한다면 무엇을 할 수 있습니까?

제 조언은 전용 타사 비밀번호 관리자로 전환하는 것입니다. 예, 브라우저에 내장된 비밀번호 관리자를 사용하면 빠르고 편리해 보입니다. 하지만 이 최신 문제 외에도 몇 가지 함정이 있습니다.

누군가 귀하의 비밀번호, PIN 또는 암호를 통해 귀하의 PC 또는 모바일 장치에 액세스하는 경우 브라우저를 실행하고 동일한 방법을 사용하여 귀하의 비밀번호를 볼 수 있습니다. 저는 PIN만 사용하여 Windows PC에서 이 작업을 시도했고 Edge에서 일반 텍스트 비밀번호에 액세스할 수 있었습니다. 좋은 타사 비밀번호 관리자는 비밀번호를 보려면 더 강력한 인증이 필요합니다.

또한: 최고의 비밀번호 관리자: 전문가 테스트를 거쳤습니다.

내장된 비밀번호 관리자는 해당 특정 브라우저에서만 작동합니다. Edge를 기본값으로 사용할 수 있지만 때로는 Chrome이나 Firefox로 전환할 수도 있습니다. 이 경우 저장된 비밀번호를 사용할 수 없습니다. 저는 개인적으로나 업무적으로 Firefox, Chrome, Edge를 모두 사용하므로 세 가지 모두에서 내 비밀번호에 액세스할 수 있어야 합니다.

마이크로소프트는 이를 보안 결함으로 보고 필요한 경우에만 비밀번호를 해독하기 위해 크롬 및 기타 브라우저에서 사용되는 것과 동일한 방법을 채택하기를 바랍니다. 그때까지는 Edge를 비밀번호 관리자로 사용하지 않는 것이 좋습니다.

자세한 정보 확인

자세한 정보 확인

관련 기사

댓글 남기기