엣지 브라우저, 비밀번호 평문 노출…마이크로소프트 “설계 의도” - 보안 리스크와 대응 포인트

엣지 브라우저, 비밀번호 평문 노출…마이크로소프트 “설계 의도” 이슈는 AI 시대의 브라우저 보안 신뢰 모델을 다시 점검하게 만드는 사례다. 이번 보도에 따르면 저장된 자격증명이 사용 맥락과 무관하게 메모리에 평문으로 존재할 수 있다는 문제가 제기됐다.

무슨 일이 있었나

한 노르웨이 연구자가 엣지에 비밀번호를 저장하면 브라우저가 시작 시 모든 자격증명을 복호화하고 사용자가 해당 사이트를 방문하지 않더라도 프로세스 메모리에 평문으로 상주시킨다는 사실을 엑스(X) 게시물을 통해 밝혔다.

기술적으로 왜 중요한가

톰 예란 쇤스테뷔세테르 뢰닝의 발견은 독일 IT 전문 매체 하이제닷데(Heise.de)에 의해 재현됐다. 비밀번호를 생성해 저장한 결과, 브라우저를 닫았다가 다시 열었음에도 비밀번호가 평문으로 확인됐다.

평문 자격증명 노출 가능성은 정보탈취형 악성코드, 메모리 덤프 공격, 내부자 위협 시나리오에서 공격 난도를 낮춘다. 특히 업무용 브라우저가 표준 도구가 된 환경에서는 단일 취약 지점이 여러 SaaS 계정으로 확산될 수 있어 파급력이 크다.

기업 보안팀이 확인할 체크포인트

마이크로소프트는 이 발견에 태연한 반응을 보였다. 노르웨이 IT 전문 매체 이타비센닷노(Itavisen.no)에 따르면 “뢰닝이 이 사실을 신고한 후에도 마이크로소프트는 해당 동작이 ‘설계대로’라고 답했다…

조직은 브라우저 저장 비밀번호 사용 제한, 패스워드 매니저 정책, EDR 기반 메모리 접근 탐지, 중요 계정 다중인증 강제, 세션 수명 단축 등 다층 통제를 병행해야 한다. 또한 브라우저 업데이트 정책과 취약점 커뮤니케이션 대응 절차를 사전에 정의해 두는 것이 좋다.

AI 생태계 관점의 시사점

AI 업무 자동화가 확대되면서 브라우저는 단순 열람 도구를 넘어 인증 허브가 되고 있다. 따라서 브라우저 보안 이슈는 곧 AI 생산성 환경의 신뢰성 이슈로 연결된다. 도구의 기본 설계 철학과 실제 위협 모델이 일치하는지 지속적으로 검증해야 한다.

원문 및 참고

원문 기사: https://www.itworld.co.kr/article/4167538/%ec%97%a3%ec%a7%80-%eb%b8%8c%eb%9d%bc%ec%9a%b0%ec%a0%80-%eb%b9%84%eb%b0%80%eb%b2%88%ed%98%b8-%ed%8f%89%eb%ac%b8-%eb%85%b8%ec%b6%9c%eb%a7%88%ec%9d%b4%ed%81%ac%eb%a1%9c%ec%86%8c%ed%94%84.html