엣지 브라우저, 비밀번호 평문 노출…마이크로소프트 “설계 의도” 논란, 브라우저 자격증명 보안 리스크 점검 핵심 요약입니다

엣지 브라우저, 비밀번호 평문 노출…마이크로소프트 “설계 의도” 이슈는 AI 시대의 브라우저 보안 신뢰 모델을 다시 점검하게 만드는 사례다. 이번 보도에 따르면 저장된 자격증명이 사용 맥락과 무관하게 메모리에 평문으로 존재할 수 있다는 문제가 제기됐다.

무슨 일이 있었나

한 노르웨이 연구자가 엣지에 비밀번호를 저장하면 브라우저가 시작 시 모든 자격증명을 복호화하고 사용자가 해당 사이트를 방문하지 않더라도 프로세스 메모리에 평문으로 상주시킨다는 사실을 엑스(X) 게시물을 통해 밝혔다.

톰 예란 쇤스테뷔세테르 뢰닝의 발견은 독일 IT 전문 매체 하이제닷데(Heise.de)에 의해 재현됐다. 비밀번호를 생성해 저장한 결과, 브라우저를 닫았다가 다시 열었음에도 비밀번호가 평문으로 확인됐다.

평문 자격증명 노출 가능성은 정보탈취형 악성코드, 메모리 덤프 공격, 내부자 위협 시나리오에서 공격 난도를 낮춘다. 특히 업무용 브라우저가 표준 도구가 된 환경에서는 단일 취약 지점이 여러 SaaS 계정으로 확산될 수 있어 파급력이 크다.

마이크로소프트는 이 발견에 태연한 반응을 보였다. 노르웨이 IT 전문 매체 이타비센닷노(Itavisen.no)에 따르면 “뢰닝이 이 사실을 신고한 후에도 마이크로소프트는 해당 동작이 ‘설계대로’라고 답했다…

조직은 브라우저 저장 비밀번호 사용 제한, 패스워드 매니저 정책, EDR 기반 메모리 접근 탐지, 중요 계정 다중인증 강제, 세션 수명 단축 등 다층 통제를 병행해야 한다. 또한 브라우저 업데이트 정책과 취약점 커뮤니케이션 대응 절차를 사전에 정의해 두는 것이 좋다.

AI 업무 자동화가 확대되면서 브라우저는 단순 열람 도구를 넘어 인증 허브가 되고 있다. 따라서 브라우저 보안 이슈는 곧 AI 생산성 환경의 신뢰성 이슈로 연결된다. 도구의 기본 설계 철학과 실제 위협 모델이 일치하는지 지속적으로 검증해야 한다.

자주 묻는 질문

악성코드나 메모리 덤프 분석으로 계정 탈취 가능성이 높아지기 때문이다.

브라우저 저장 비밀번호 사용을 줄이고 MFA를 활성화하며 전용 패스워드 매니저를 검토하는 것이다.

브라우저 정책 관리, 계정 보호 정책, EDR 탐지 규칙, 민감 시스템 접근 통제를 우선 점검해야 한다.

AI 업무가 웹 인증 기반 서비스에 의존하기 때문에 브라우저 자격증명 보안은 AI 운영 안정성과 직결된다.