비번 관리의 대명사 ‘키패스’(KeePass)의 장․단점?

[애플경제 이윤순 기자] 수많은 비밀번호를 관리하기란 쉬운 일이 아니다. 그 때문에 자신의 컴퓨터에 여러 로그인 정보를 담아둔 계정DB파일을 저장해두고 사용하는 오픈소스 비번 관리 프로그램 ‘KeePass’(키패스)는 이제 생활인의 필수가 되고 있다. 계정DB파일을 원격서버에 저장하는 ‘LastPass’가 편의성이 우수한 반면, 키패스는 자신의 컴퓨터에 보관하기 때문에 보안 기능이 한층 우수하다.

업계 전문가들은 대체로 “키패스는 안전하다”는데 의견을 같이한다. 이는 데이터베이스 및 사용자 저장소에 표준 암호화(AES-256)를 사용한다. 즉 비밀번호뿐만 아니라 사용자 이름 과 메모 등 다른 항목들도 암호화된다는 뜻이다. 이는 가장 많은 사용자들이 이용하고 있ㄷ으나, ‘Bitwarden’, ‘NordPass’, ‘1Password’ 등 또 다른 비번 관리 프로그램과 비교되는 장․단점이 있어 유의해야 한다는 전문가의 조언이다.

“아직 데이터 유출, 해킹 당한 적 없어”

키패스는 그러나 오픈 소스이므로 취약점이나 보안 허점을 완전히 배제할 순 없다. 다만 사용자들과 전문가들, 그리고 키패스가 함께 협력,안전한 소프트웨어를 사용할 수 있도록 노력하고 있어, 보안 수준이 높다고 할 수 있다.

실제로 지금까지 키패스는 데이터 유출이나 해킹을 당한 적이 없다. 유럽 위원회의 ‘무료 및 오픈 소스 소프트웨어 감사(EU-FOSSA 1) 프로젝트’에 의한 감사 결과 보안 문제가 전혀 없는 것으로 나타났다.

또한 스위스 연방 행정부의 모든 PC에도 기본적으로 설치되어 있으며, 스위스 연방 정보 기술, 시스템 및 통신 사무국도 이를 권장하고 있다.

플러그인 및 확장 라이브러리 기능

키패스는 비밀번호 저장 및 비밀번호 생성 외에도 고유한 몇 가지 주요 기능이 제공된다.

우선 플러그인 및 확장 라이브러리 기능이다. 사용자들은 키패스 플러그인을 다운로드하고 추가할 수 있다. 이들 플러그인은 사용자가 다양한 파일 형식을 입출력하도록 허용하거나, 키패스 사용자 인터페이스를 변경하고, 자동 완성 기능을 추가하기도 한다.

현재 키패스 웹사이트에는 170개 이상의 다운로드 가능한 플러그인이 있다. 기술매체 ‘테크리퍼블릭’은 “그래서 비밀번호 관리자와 해당 기능 세트를 ‘사용자 정의’하는 것을 중요하게 생각하는 사용자에게 적합하다”면서 “많은 사용자들은 초기 설치 후 추가 기능을 걱정할 필요 없이 전용 기능이 이미 제공되는 비밀번호 관리 솔루션을 선호한다”고 전했다.

KeePass의 또 다른 뛰어난 기능은 완전한 ‘로컬 비밀번호 관리 시스템’이다. 이는 모든 비밀번호와 저장된 자격 증명이 사용자의 컴퓨터나 장치에서 로컬로 암호화된다는 의미다. “이는 1Password 또는 LastPass와 같이 클라우드에 비밀번호를 저장하는 다른 비밀번호 관리자와 대비되는 점”이다.

자동 입력 기능

대부분의 최신 비밀번호 관리자와 달리 키패스에는 기존의 ‘자동 완성 기능’이 없다. 대신에 선택한 계정 페이지에 자격 증명을 자동으로 입력하는 전역 자동 입력 단축키인 ‘자동 입력’(Auto-Type) 기능이 있다.

많은 비밀번호 관리 프로그램은 브라우저 확장이나 팝업 아이콘을 통해 클릭 가능한 버튼으로 사용자 이름과 비밀번호 필드를 자동으로 채우는 방식이 대부분이다. 이에 반해 키패스의 ‘자동 입력’은 키패스를 백그라운드에서 열어 웹 사이트로 전환하고, 특정 키보드 단축키를 누른 후 자동으로 로그인 자격 증명을 입력하는 방식으로 작동한다.

물론 사용자들 중엔 “키패스가 자동으로 비밀번호를 입력하는게 편리할 것 같지만, 사용하기가 정말 까다롭다”거나, “로그인 자격 증명이 입력되는 순서를 수동으로 설정하는게 불편하다”는 등의 지적도 적지 않다. 이는 사용자 이름이나 비밀번호에 대해 키패스가 적절한 필드에 입력할 수 없는 경우가 대부분이다.

키패스 인증 및 보안 옵션

키패스에는 키 파일과 윈도우 사용자 계정 연결이라는 두 가지 주요 다단계 인증(MFA) 옵션이 있다. 키 파일은 컴퓨터, USB 플래시 드라이브, 기타 장치에 저장할 수 있는 파일이다. 데이터베이스에 액세스하기 위해 마스터 비밀번호와 함께 추가로 요구되는 사항이기도 하다.

또 특정 윈도우 사용자 계정에 로그인한 경우에만 키패스 볼트 또는 데이터베이스가 열리도록 설정할 수 있다. 이에 대해 “키패스에 (다른 비번 관리 프로그램들인) ‘1Password’의 지문 확인이나, ‘NordPass’의 인증 앱 통합과 같은 더 많은 MFA 옵션이 있었다면 더 좋았을 것”이란 지적도 있다.

보안 옵션의 경우 키패스에 데이터베이스에서 비밀번호를 복사할 때마다 타이머가 있다는 점도 특징이다. 기본적으로 키패스는 클립보드에서 복사된 자격 증명을 12초 후면 자동으로 제거한다. 또한 비활성 후 키패스 데이터베이스를 자동으로 잠그거나, 키 변환 설정이 약할 때마다 키패스가 경고하도록 설정할 수 있는 다양한 시행 옵션도 있다.

키패스 인터페이스 및 성능, 모바일 앱

키패스의 데스크톱 사용자 인터페이스(UI)는 디자인과 사용 편의성이 다소 떨어진다는 평가다. 마치 “2000년대의 레거시 윈도우 응용 프로그램과 약간 비슷해 보인다”고 할 정도다.

일부 불편한 점이나 미흡한 점에도 불구하고, 키패스 앱에 새 비밀번호 항목을 원활하게 추가할 수 있다. 이를 위해 비밀번호 생성기가 있으며, 비밀번호 문자에 제한도 없다.

다만 전통적인 자동 완성, 비밀번호 캡처 및 재생 기능은 없다. 플러그인이 없으면 새 사용자 이름과 비밀번호를 저장하려면 로그인 자격 증명을 수동으로 입력해야 한다.

키패스에는 자체 독점 iOS 또는 Android 모바일 애플리케이션이 없다. 다만, 해당 서비스의 사용자 생성 모바일 포트는 인식한다. 또 키패스 모바일 애플리케이션도 사용자에게 다양한 옵션을 제공한다. 다만 특정 모바일 앱이 장기적으로 지원된다는 보장은 없다. 모바일 포트의 품질 수준도 다양하므로 마일리지가 다를 수 있다.

결론적으로 키패스는 완전 무료 비밀번호 관리 프로그램으로서, 오픈 소스이며 안전하다. 또 고도의 맞춤화가 가능하며, 다운로드 가능한 사용자 생성 플러그인이다.

그럼에도 불구하고, 배우기 어렵고 사용자 친화적이지 않다. ‘자동 완성 기능’은 없으며, ‘자동 입력’은 약간 투박하다는 평가다. 다단계 인증 옵션은 별도로 다운로드해야 하며, 공식 모바일 앱이 없다.