NordPass 리뷰: 예쁜 디자인에 패스워드 관리 기능도 합격

처음에 그렇게 기대하지 않았는데, NordPass 한달정도 사용해보고 1. 얘들이 노드로커도 그렇고 앱 퀄리티를 상당히 잘 뽑는구나? 2. 장기적으로 멀리보고 가려는 것 같다. 이 두가지를 느꼈습니다. 구색 갖추기가 아닌 진정으로 통합 보안 회사로 거듭나기 위한 노력이 보였습니다. 너무 칭찬해주는거 아니냐구요? 보시면 정말 깔끔하고 이쁘게 잘 만들었다는 것을 알 수 있습니다. 마음에 들어서 리뷰를 해보기로 했습니다.

인터페이스

재미있는게 스포티비나우, 네이버, 엘포인트, 롯데 등 한국 사이트도 아이콘이 자동 생성됩니다. 마인크래프트, MLB, 로지텍 등 해외 유명 사이트는 대부분 되는 것 같았어요. vmware도 인식하는걸 보면 ㅎㅎ 전체적으로 매우 깨끗합니다. 기능적으로 큰 차이가 없다면 그 다음은 디자인입니다.

Recovery Code

위에 살짝 보이는 Unlock with Touch ID는 스마트폰 혹은 지문인식이 가능한 데스크탑, 노트북에서 사용가능한 지문인식으로 앱을 여는 기능입니다.

처음 NordPass를 가입해서 쓸 때 저 복구코드는 꼭 꼭! 따로 안전한곳에 보관하세요. 보안을 위해 회사측에서 정보를 가지고있지 않기 때문에 마스터 패스워드를 잃어버리면 이 복구코드로 재설정이 가능합니다.

마스터 비밀번호를 잊어버린 경우에도 NordPass 계정을 복구할 수 있습니다. 가입할 때 생성한 복구 코드만 있으면 됩니다. 아래는 복구 방법

• NordPass 실행
• 내 마스터 비밀번호를 잊으셨습니까?를 클릭.
• 복구 코드 입력
• 새 마스터 암호 입력

Password Health

왼쪽 하단 Tools 메뉴를 보시면 가장 위는 Password Generator(비밀번호 생성) 아래 있습니다. 저장된 계정의 패스워드들 중에서 취약한(단순한) 패스워드가 몇개고, 재사용된 것들이 몇개인지 알려줍니다.

각 계정별 정보로 들어가도 해당 사이트에 사용된 비밀번호가 몇개의 다른 계정에 동일하게 사용중인지 나옵니다. 이걸 왜 강조하냐면 해커들이 특정 사이트를 털고나면 다른 사이트에 동일 아이디와 패스워드를 대입해 2차 3차 피해가 생길 수 있기 때문입니다. 그래서 아이디나 비밀번호 둘중 하나는 모두 다르게 생성하는게 좋은데, 아이디를 모두 다르게 만들면 헷갈리고 사용하기 어려울 수 있으니 보통은 패스워드를 다르게 설정하죠.

Data Breach Scanner

이 기능은 잘 모르시는 분들이 훨씬 많으실 것 같아요. 요즘 유료 패스워드 매니저 앱에는 하나둘씩 이 기능이 들어가고 있는것 같습니다. 두세번 정도 사용하고 더 쓸 일은 없을 것 같지만, 사람마다 다르니 간단하게 설명할게요.

화면 상단에 Breach Monitoring 버튼을 눌러서 스캔을 원하는 이메일을 추가할 수 있습니다. 추가한 계정으로 확인 번호를 보내고 입력해서 인증하면 됩니다. 스캐닝이 끝나면 위처럼 결과가 나옵니다. 저는 그냥 보여주기식 기능이 아닐까 싶었는데 꽤 상세히 알려주더군요.

각 항목은 이메일 계정별로 몇개의 사이트에 유출이 있었는지 보여주는데요.

Dropbox가 뜨길래 눌러봤어요. 해당 이메일 계정의 주인임을 인증하고 나서, Show Leacked Data를 누르면 어떤 비밀번호가 유출되었는지 나오고 그 아래 날짜가 나오며 밑으로 내려보면 아래와 같이 상세한 설명이 나옵니다.

한글 설명은 따로 나오지 않고 이해를 돕기 위해 제가 내용을 타이핑해서 번역 결과를 붙여넣기 한 것 입니다. 2012년에 드롭박스가 6800만개의 계정 데이터 유출이 있었군요?;;;;;

오래전에 한참 디카로 사진 찍을때 자주갔던 500px도..

유출 결과를 보고 까먹고있었던 사이트들 탈퇴도하고 비밀번호도 바꿨습니다.

NordPass 사용법: 다른 것과 크게 다르지 않아요.

Import (비밀번호 가져오기)

처음 설치 후 기존에 사용하시던 암호들을 쉽게 불러올 수 있습니다.

왼쪽 상단 톱니바퀴 아이콘을 눌러서 설정으로 들어간 후 Import and Export에서 불러오기 내보내기 기능을 사용하실 수 있어요.

• 웹브라우저 : 크롬, 파이어폭스, 마이크로소프트 엣지, 아파리, 오페라, 브레이브 등등
• 다른 패스워드 매니저 : Lastpass, 1Password, Dashlane, Keepass, KeepassX, Remembear, Keeper, Bitwarden, TrueKey, Roboform 등등

저는 BItwarden 데이터를 옮겼는데 CSV 백업 파일 뽑아다 올려주기만하면 됩니다.

Secure Notes

저는 중요한 정보들을 꽤 많이 저장해두는데요. 앱 디자인이 이뻐서 더 깔끔하게 정리되는 느낌입니다. 노트 기능에서 아쉬운 점은 이미지 등 파일 첨부가 아직 안된다는 것 입니다.

노드패스 기능 정리해보면

다른 프리미엄급 패스워드 매니저가 가지고 있는 기능은 모두 가지고 있습니다.

• 비밀번호 저장은 한도는 따로 없어요. 어차피 텍스트라 큰 부담 없겠죠.
• 난수 비밀번호 생성 – 대문자,소문자,숫자,특수문자 원하는대로 섞어서 생성 가능
• 웹 브라우저에서 자동 채우기도 빠르게 잘 됩니다.
• 메모 및 신용 카드 정보 무제한 저장이라고 공식 홈페이지에 써놨는데 이미지 저장은 어디까지 되는지 확실히 모르겠습니다.
• 개인 정보 자동 채우기
• 2FA 인증으로 Vault를 더 안전하게 보관
• 대부분의 운영체제와 장치에서 동기화 및 사용
• 오래됐거나, 다른 곳에서 사용중인 비밀번호를 재사용하지 않도록 알림
• 민감한 데이터 유출 알림
• 안전한 비밀번호 공유

NordPass 스펙

NordPass 무료 vs 유료 차이

기기 동시 접속, 비밀번호 선택 공유, Emergency access, 패스워드 점검(강도, 재사용 등), 유출 스캔, Trusted Contacts(신뢰하는 사람과 암호 공유) 기능 유무차이 입니다. 저 처럼 열심히 사용하는 사람들에겐 동시 접속은 매우 중요합니다.

보안과 암호화

• 무료/유료 사용자 모두 동일한 보호를 받습니다. 위에 말씀드린 편의 기능의 차이만있으니 한대씩 로그인하면서 사용하셔도 된다면 무료를 쓰셔도 무방합니다.
• 최신 암호화 알고리즘 XChaCha20, Argon2를 사용합니다. 요즘 대세 프로토콜로 자리잡은 Wireguard에도 Xchacha20 사용되더군요.(Xaead(key, nonce, plain text, auth text) XChaCha20Poly1305 AEAD, with a 24-byte random nonce, instantiated using HChaCha20 [6] and ChaCha20Poly1305)
  • XChaCha20 stream cipher encryption
  • Poly1305 MAC authentication
  • X25519 key exchange
  • XSalsa20 stream cipher encryption

아래 방식으로 된다고 합니다..

그리고당연히 영지식 아키텍처(Zero-knowledge architecture). 아래 설명 드릴게요.

“우리는 귀하의 마스터 비밀번호를 가지고 있지 않으므로, 누군가가 당사 서버를 침해하더라도 귀하의 암호화된 데이터는 안전합니다. 우리나 잠재적인 침입자는 당신이 NordPass 금고에 무엇을 저장하고 있는지 알 수 없습니다. 외부 기관에서 귀하의 세부 정보를 요청하면 저희가 드릴 수 있는 것이 없습니다.”

https://nordpass.com/features/zero-knowledge-architecture/

영지식이란 서비스를 제공하는 업체측에서 사용자의 정보를 알 수 없는 시스템 구조를 이야기 합니다. 위의 이미지로 쉽게 설명할 수 있습니다. 나의 데이터는 ‘암호화 된 상태로’ 클라우드에 업로드 및 동기화 됩니다. NordPass 서버에는 암호화 금고에 숨겨진 데이터만 저장되는거라 최악의 경우에도 안전합니다.

그리고 NordPass의 경우 기업용 서비스를 목표로하고 있기 때문에 좀 더 완성도있는 것 같습니다. NordPass 비즈니스 정보 보안 관리 시스템이 SOC 2 type 1 및 ISO/IEC 27001:2017 인증을 받았는데 뭐 좋은거라고 합니다.(설명) 더 자세한것은 백서를 읽어보시는 것도 좋습니다.

플랫폼

윈도우, MacOS, 리눅스, iOS, 안드로이드, Web Vault(웹 접속으로 사용가능)

NordPass는 어떤 언어로 만들어졌나?

그냥 궁금해서 지원팀에 문의해봤더니 “Electron and JavaScript are mainly used to build the NordPass software.” 일렉트론, 자바스크립트가 메인이라고 답변이 왔습니다.

경쟁자

클라우드+멀티디바이스+크로스 플랫폼 이 3가지는 저에게 필수입니다. 이 조건에서 봤을때 지금 가장 경쟁력있는 패스워드 앱은 Bitwarden 그리고 1Password라고 생각합니다. LastPass는 좀 어중간하게 됐습니다. 가격도 그렇고.. 큰 문제로 가진 않았지만, 보안 사건이 두번이나 있었고 비트워든이 오픈소스에 매우 저렴한 가격을 들고나와서 메리트가 낮아진 상태 입니다. 이 외 Enpass, Dashlane, Keeper, KeePassXC, Roboform 등 많은 비밀번호 매니저 앱들이 있어요. 특히 온라인 저장을 절대 신뢰하지 못하겠다! 하시는 분들에게는 KeePassXC가 정말 좋은 옵션이지만 아이폰, 안드로이드용 앱이 없습니다. 요즘 시대엔 Sync(동기화)기능이 없으면 너무나 불편합니다.

• Bitwarden : 디자인적인 부분을 조금만 포기한다면 단일 제품으로 봤을때 비트워든이 가장 경쟁력 있습니다. 저처럼 시놀로지 NAS에 도커로 올려서 프리미엄 기능을 무료로 다 사용하실수도 있고, 스스로 설치 및 관리하는 불편함이 귀찮으신 분은 1년 10달러밖에 안하는 가격으로 가입해서 사용할 수 있습니다.
• 1패스워드 : 제일 이쁩니다. 하지만 너무 비싸요. 이것저것 다 사용을 해봤을때 굳이 이 가격에 이걸 쓸 필요가? 라는 생각이 반복해서 들게 됩니다. 오랜기간 써왔고 Only 맥+아이폰 유저라면 계속 구독 갱신할 메리트가 있을지도요.

결론

VPN을 계속 사용하시는 분이라면 NordVPN+NordPass 패키지(Plus 플랜) 추천할만한 조합입니다.(아래 가격 참고) 비밀번호 관리 앱은 마이그레이션이 굉장히 쉬워서 마음에 안들면 언제든 다른 앱으로 옮겨갈 수 있습니다. Bitwarden의 셀프 호스팅 버전인 Vaultwarden을 꽤 오래 사용했는데요. 제가 가장 추천하는 비밀번호 앱 이지만 제 NAS가 918+ 보급형이 아님에도 불구하고 저장된 데이터양이 많아지니 꽤 버벅이는 문제가 있고 일주일에 한두번씩 사소한 동기화 문제가 있었습니다.

• 최대 할인으로 가입하시려면 할인 방법 모음를 읽어주세요.
• 노드락커는 데이터를 완전히 암호화된 공간에 보관하는 기능인데 강추하지만 필요하신 분들은 일부일 것 같아서 리뷰를 읽어보시고 선택하시면 되겠습니다. 할인율이 가장 좋아 컴플리트 플랜도 상당히 매력있습니다.
• 노드패스 프리미엄 하나만 가입 하실 분은 노드패스 페이지로 가시면되는데, 리뷰 작성 시점에는 6명이 같이 쓸 수 있는 패밀리 플랜이 50% 할인중이었습니다.

그래서 이쁘고 빠릿한 NordPass로 데이터를 전부 옮겨서 사용중인데 언급했던 부분만 고쳐지면 장기적으로 쓰기 좋겠다고 판단했고, 업데이트될 기능들을 기대하고 있습니다.