구글 크롬 새 확장 "유출 계정이네요, 패스워드 바꾸세요"

사용자명·패스워드 조합 인식해 경고하는 '패스워드 체크업' 나와

컴퓨팅입력 :2019/02/06 09:37    수정: 2019/02/06 10:38

구글이 유출된 사용자명과 패스워드를 조회할 수 있는 크롬 브라우저 확장기능 '패스워드 체크업(Password Checkup)'을 내놨다.

구글은 5일(현지시간) 크롬 웹스토어를 통해 패스워드 체크업이라는 크롬 확장기능을 배포한다고 밝혔다. [원문보기 ☞ Protect your accounts from data breaches with Password Checkup]

패스워드 체크업은 크롬 브라우저 사용자가 웹사이트 로그인 입력칸에 과거 온라인 데이터 유출 사건이나 보안 사고로 유출된 적이 있는 사용자명과 패스워드 조합을 쓰고 있는지 확인해 준다. 이 동작은 사용자가 온라인 서비스에 로그인 할 때마다 실행된다.

구글이 크롬 브라우저에 입력된 사용자명과 패스워드 조합을 인식, 과거 유출된 계정 정보를 그대로 쓰고 있는 경우 패스워드를 바꾸라고 경고하는 새 확장기능 '패스워드 체크업'을 만들어 공개했다. 패스워드 체크업의 사용법을 소개한 도안. [사진=구글]

사용자가 입력한 사용자명과 패스워드를 과거 유출됐던 계정 정보와 대조하기 위해 구글 개발자들은 지난 몇 년 동안 발생한 보안 사고로 공개된 유출 계정 정보 40억건 이상을 수집한 데이터베이스(DB)를 만들었다.

패스워드 체크업이 이런 구글의 DB를 통해 사용자가 입력한 계정 정보를 과거 유출된 사용자명 및 패스워드 조합과 일치한다고 판정하면, 이 확장기능은 사용자에게 패스워드를 바꾸라는 경고를 팝업 형태로 띄운다.

설명에 따르면 이 확장기능은 프라이버시에 초점을 맞춰 만들어졌다. 구글이나 공격자가 이 확장기능을 위해 앞서 유출된 사용자명과 패스워드를 수집한 구글의 DB를 악용할 수 없다. 유출 계정 DB와의 일치 여부 확인시 사용자명과 패스워드 각각이 아니라 그 '조합'만을 쓴다.

예를 들어 이 확장기능은 '123456'같은 패스워드를 쓴다고 바로 경고를 보여주는 게 아니다. 하지만 이 패스워드를 입력한 계정이 과거 데이터 유출 사고로 온라인에 그 패스워드와 함께 노출된 적이 있다고 하면 경고를 띄운다.

크롬 브라우저의 패스워드체크업 확장기능은 사용자가 입력한 계정 정보를 들여다보지 않고 암호화한 상태로 활용한다. 동작 원리를 시각화한 인포그래픽. [사진=구글]

미국 지디넷은 패스워드 체크업이 지난해 11월 모질라가 파이어폭스에 탑재한 '파이어폭스 모니터' 서비스와 언뜻 비슷해 보이지만, 둘의 동작 방식은 상이하다고 평했다. [원문보기 ☞ Google releases Chrome extension to check for leaked usernames and passwords]

파이어폭스 모니터는 사용자가 지난 12개월 사이 데이터 유출 사고를 낸 웹사이트를 돌아다닐 경우 경고를 띄우고 패스워드 변경을 권고하는 식이다. 데이터 유출 사고를 낸 웹사이트의 정보는 'Have I Been Pwned'라는 외부 웹사이트를 참조한다.

반면 크롬의 패스워드 체크업은 아직 데이터 유출 사고를 내지 않은 웹사이트를 쓰는 경우에 선제적으로 패스워드 변경을 권고한다. 자체 DB를 기준으로 로그인 정보 입력난에 입력한 실제 사용자명과 패스워드 정보를 확인해 변경을 제안한다.

관련기사

패스워드 체크업 확장기능은 온라인 서비스에 과거 유출된 것과 동일한 계정 정보를 여전히 쓰고 있는 사용자를 노린 '크리덴셜 스터핑' 공격에 대항해 만들어졌다. 데일리모션, 레딧, 베이스캠프, HSBC, 던킨도넛, 애드가드를 비롯한 여러 서비스에 최근 이런 공격이 있었다.

구글 측은 "우리는 구글 서비스에 있는 사용자뿐아니라 웹의 다른 곳에 있는 사용자들도 안전할 수 있도록 돕고자 했다"며 "이건 첫 버전이고 우리는 앞으로 몇 달 동안 계속 사이트 호환성, 사용자명과 패스워드 입력난 인식도 개선을 포함한 조율을 지속하겠다"고 밝혔다.