1Password 후기: 훌륭한 비밀번호 관리 앱인 이유
비밀번호 관리 앱은 요즘 세상에 필수입니다. 해커들의 기술도 나날이 고도화 되고있기 때문에 우리도 최소한의 방어 체계를 갖추지 않으면 안됩니다. 여러분의 두뇌가 상위 0.1% 천재 수준이거나 본인만의 명확한 패스워드 생성/관리 체계가 있고 절대 오차없이 사용하실 수 있다면 사용하지 않으셔도 되겠지만, 그게 아니라면 무조건 사용하시는 것을 추천드립니다.
저도 처음에는 최고의 보안성을 위해 로컬 전용 비밀번호 관리 프로그램인 KeePass를 사용했습니다. 그러다 동기화 및 편의성 문제로 Lastpass를 사용했는데 잦은 보안 이슈가 터져 결국 불편함을 감수하고 고심끝에 Bitwarden의 셀프-호스팅 버전인 Vaultwarden을 선택해 지금까지 잘 사용하고 있습니다. 그러다 패스워드 관리 앱 업계에서 비트워든과 함께 가장 유명한 1Password가 너무 궁금해서 결국 결제해서 사용해보게 되었습니다.
그리고 제가 사용하는 Vaultwarden은 NAS에서 돌리는거라 혹시 HDD가 갑자기 맛이 간다거나 나스가 죽는 상황이 생기면 큰일나기 때문에 겸사겸사 1Password 1년 플랜을 구매했어요.
글 순서
비밀번호 모두 다르게 관리해야
사이트 관리자들이 주기적으로 비밀번호를 바꾸라고 알림을 보내고, 전세계 많은 보안 전문가들이 모든 사이트에서 다른 패스워드를 사용해야 한다고 주장하는 이유는! 정말정말 그게 중요하기 때문입니다. 우선 크리덴셜 스터핑 글을 읽어보시는 것을 추천드립니다.
해커들이 특정 서버를 털어서 아이디, 비밀번호 등 로그인 자격 증명 정보 데이터베이스를 탈취하게 되면 직접 사용하기도 하겠지만 블랙마켓을 통해 판매하게 됩니다. 그것을 구매한 사람이나 조직은 프로그램을 통해 전세계 수 많은 사이트에 테스팅을 하게되고 뚫린 계정은 또 다른 사람 및 조직에게 판매하기도 합니다.
불법적으로 얻은 정보를 판매하는 비즈니스 모델은 오래전부터 존재해왔고 날이갈수록 진화하고 있습니다.
여러분이 가장 쉽고 간단하게 계정 보안을 강화하는 방법은 모든 사이트의 비밀번호를 다르게 하는 것 입니다. 간단해요. A라는 사이트의 서버가 털려서 내 아이디와 비밀번호가 유출된다 하더라도 비밀번호가 다르면 B, C, D, E 등 다른 사이트에 아무리 대입해봤자 계정이 털리지 않습니다.
1Password 소개와 장점
2005년에 설립된 회사 AgileBits Inc.에서 2006년에 첫 릴리즈 된 패스워드 매니저입니다. 1Password가 대단한 점은 2024년 현재 기준으로 2년뒤면 20살이 되는 소프트웨어인데 경쟁자들은 거의 다 뒤로 밀려난 지금까지 살아남았고 유료 패스워드 매니저 소프트웨어 중에서는 1위 자리를 차지하고 있다는 것이죠.
시장 점유율은 지금도 Lastpass가 상당히 높게 나오지만 제대로 집계된 것인지는 모르겠고, 무료 사용자들이 엄청나게 많을거예요. 유료 버전 사용하실거면 라스트패스 vs 1Password 가격 차이가 거의 없습니다. 무조건 1Password 승리입니다.
제가 생각할 때 1Password의 유일한 경쟁 상대는 Bitwarden밖에 없습니다. 패스워드 매니저를 어느정도 사용해보고 정보를 많이 검색해본 유저들은 1Password vs Bitwarden 둘 중에서 하나를 고민합니다.
둘 다 사용해보니 사람들이 왜 둘 사이에서 고민하는지 알 것 같습니다. Bitwarden은 저렴한 가격과 오픈 소스 앱이라는 것이 가장 큰 무기라면 1password는 오래된 역사, 빠릿함, 기업용 서비스(전문성), 그리고 예쁩니다. ㅋㅋ 이거 무시못해요.
인터페이스
이미지 우클릭 후 ‘이미지 새 탭에서 열기’로 보시면 조금 더 잘 보이실거예요.
Bitwarden 메모장에 제가 구매한 앱 라이센스 키를 하나씩 구분하기 위해 대충 앞에 – 붙여서 써놨는데, 1Password로 옮겼더니 잘 정리된 상태로 나오더라구요. 단순하게 아이콘이나 인터페이스만 예쁜게 아니었네요. 오래된 짬밥이 느껴지는 디테일이 돋보이는 부분이었습니다.
설정에 들어가보시면 Markdown을 사용해 보안 노트 서식 지정이 있었어요. 마크다운 서식을 사용할 수 있으면 훨씬 깔끔하게 노트 관리가 가능하죠.
스마트폰 앱으로 넘어오면 깔끔함 차이가 훨씬 더 크게 느껴집니다. 보안 설정 때문에 앱 화면 캡쳐가 되지 않아서 다른 폰으로 사진 찍어서 올리려다가… 좀 귀찮아서 말로만 설명드리면 Bitwarden은 구형 안드로이드 느낌이고, 1Password는 전형적인 아이폰 앱 느낌의 예쁜 인터페이스를 가지고 있습니다. 제가 둘다 켜놓고 보니 시각적인 부분을 무시하진 못하겠더라구요.
제가 Bitwarden 사용한지 꽤 오래됐는데 처음 쓸 때만 하더라도 인터페이스 예쁘게 바꾸는건 금방 하겠지? 라고 생각했는데 아니더라구요. ㅋㅋ 그렇다고 Bitwarden 디자인이 예쁘지 않다는 것은 아닙니다. 충분히 깔끔하고 사용하는데 전혀 문제가 없습니다.
세분화된 항목
이미지를 눌러서 크게 보시면 항목별로 사용하기 좋게 잘 만들어놨습니다. 아이콘 하나하나 잘 만들어놨어요. 제가 1Password 인터페이스가 예쁘다라고만 이야기 했는데 단순하게 미적인 부분만 칭찬하는게 아니라 시각적으로 한눈에 쉽게 구분하고 깔끔하게 정리할 수 있도록 아이콘 하나하나 만들어놓은 디테일한 부분까지 포함해서 칭찬한 것이었어요.
이런 알림도 훨씬 눈에 띄게 만들어놨습니다. 중요한 알림이라 귀찮지만 제안이 뜨면 따르는게 좋습니다.
Watchtower 메뉴로 들어가시면
- 재사용된 비밀번호
- 보안 강도가 낮은 비밀번호
- 보안이 안 된 웹 사이트(HTTP)
- 중복된 정보가 있는 항목
- 패스키 사용 가능
- 2단계 인증
이렇게 세부적으로 내가 얼마나 보안 지침을 잘 따르고 있는지 보기 좋게 알려줍니다. 패스워드 관리와 자동 완성 등 기본적인 본연의 기능에 가성비만 평가한다면 확실히 Bitwarden이 좋지만 전체적인 부분을 보면 1password가 왜 인기있는지 느낄 수 있습니다.
크로스 플랫폼
Windows, macOS, iOS, Android, Linux, ChromeOS 그리고 웹브라우저 확장프로그램 등 거의 모든 환경에서 사용 가능합니다. 제가 윈도우, 안드로이드, 맥북 3개 환경에서 앱을 설치했는데 보통 맥 앱은 예쁜데 윈도우나 안드로이드 앱이 안이쁜 경우가 꽤 많거든요? 1password는 동일하게 다 예쁩니다.
Vault 열리는 속도나 검색 속도 등이 Bitwarden보다는 좀 더 최적화 된 느낌이 있어요. Passkey, TOTP 등 깔끔하게 관리되고 잘 작동합니다.
Travel Mode
1Password 기능 중 마음에 드는 것이 바로 Travel Mode 입니다. 홈페이지 설명에서는 하나의 예로 ‘여행 중 국경에서 기기 잠금을 해제해야하는 경우’에 사용할 수 있다고 했는데, 이는 폰 분실, 압수 등 다양한 환경에서도 내 비밀번호와 노트, 신용카드 번호, 신분증 정보 등을 안전하게 보호할 수 있는 기능입니다.
웹에서 우측 상단 프로필을 누른 후 ‘내 프로필’ 선택 그리고 좌측에 나오는 ‘여행 모드’를 켜면 활성화 됩니다. 내가 여행 중에 혹은 특정 상황에서 필요하거나 노출되어도 크게 문제없는 로그인 정보를 제외하고 나머지는 모두 숨겨둘 수 있습니다.
공유
사용법도 편리하고 직관적입니다.
공유 버튼을 누른 후 ‘링크 유효 기한’ 및 ‘사용 가능 대상’ 그리고 한 번만 볼 수 있게 하는 등 세부적인 세팅을 한 뒤에 공유해주면 됩니다.
생성된 공유 링크를 웹에서 눌러보니 이렇게 나옵니다. 최대 30일까지 기한을 정할 수 있는데, 특정 서비스 계정을 공유하는 파티원들이 있다면 이런식으로 공유하는 것도 괜찮을 것 같아요. 제가 캡쳐하면서 테스트해봤는데 생성된 링크의 비밀번호는 내 금고에서 바꿔도 바뀐 비밀번호로 적용되지 않습니다.
Open Source vs Closed Source
Bitwarden은 오픈소스 입니다. 반면에 1password는 Closed Source죠. 리눅스는 Open Source, 윈도우 및 macOS는 Closed Source 입니다.
저를 포함한 많은 사람들이 오픈 소스를 선호하지만 이는 각 회사의 비즈니스 모델과 기술, 수익 등이 달려있는 문제라 오픈소스가 무조건 더 안전하다라고 말할 순 없습니다. 레시피를 무조건 공개하라고 하는 것도 말이 안되죠. 관리가 제대로 안되는 오픈소스보다는 회사의 매출과 수익이 안정적이어서 관리가 제대로 되는 폐쇄형 소스가 더 안전할 수 있습니다.
1Password 안전한가요?
1Password의 안전성은 객관적인 판단이 가능합니다. 제가 긍정적으로 보는 부분은 3가지예요.
- 현재 시점에서 벌써 18년이나 되었는데 지금까지 보안 이슈가 없었어요.
- 2023년 기준으로 연 매출이 2억 5천만달러가 넘었는데 이 중에서 2/3 이상이 10만명 이상의 기업 고객이라고 합니다.(출처) B2B 매출이 크다는 것은 의미가 있습니다. 개인 서비스보다 더 까다로운 비즈니스 솔루션 시장에서 검증받고 선택받았다는 것 자체가 기술력을 의미하기 때문입니다. 개인용 서비스는 개인이 마음에 들면 구매해서 사용하면 그만이지만 기업용 서비스는 회사 차원에서 다양한 조건을 만족해야하기 때문에 훨씬 까다로울 수 밖에 없습니다.
- 독립적인 보안 감사, ISO 27001 및 SOC 2 Type 2 인증을 받았다고 합니다.
영지식 암호화(Zero-knowledge encryption)
우리가 1password에 저장하는 모든 정보는 영지식 암호화를 통해 저장됩니다. 이 기술을 가장 짧게 요약하면 “서비스 제공자도 유저 데이터에 접근할 수 없음”이라고 말할 수 있습니다. 내 디바이스에서 암호화 된 상태로 저장되는데 그 암호화를 풀 수 있는 복호화 키는 내가 가지고 있기 때문에 서비스를 제공하는 회사, 침입한 해커 등 그 누구도 내가 저장한 데이터에 접근할 수 없습니다.
해커 등 반갑지 않은 외부인이 내 계정에 로그인하려면 ‘계정 패스워드’ 그리고 ‘Secret Key’ 둘 다 있어야 하는데, 브루트 포스, 크리덴셜 스터핑 등의 공격으로 계정과 데이터 탈취하는 것은 거의 불가능에 가깝습니다.
내보내기/가져오기: Bitwarden to 1Password
Bitwarden 웹사이트 로그인 후 도구에 들어가시면 ‘보관함 내보내기’가 있습니다. 거기서 ‘파일 형식’은 ‘.json (Encrypted)’를 고르시고 꼭 ‘Password protected’ 옵션을 고르셔야 합니다. ‘Account restricted’는 가져오기 할 때 Bitwarden만 가능합니다. 파일 암호 설정 후 확인 누르면 다운로드 받을 수 있습니다.
그리고 1Password에서 가져오기 하시면 로그인 정보, TOTP, 메모까지 깔끔하게 잘 들어갑니다. 깨지거나 오류난 부분은 하나도 없었어요.
원패스워드 대안 옵션
제가 볼 땐 1Password vs Bitwarden 양강 구도는 오래 갈거라고 생각합니다. Dashlane, Lastpass, RoboForm, Nordpass, Enpass 등 다양한 Password Manager를 써봤지만 두 앱이 최고입니다. Reddit 같은 해외 커뮤니티에서 검색해봐도 두 회사가 가장 많이 선택 받습니다.
macOS 15 버전부터 Standalone 패스워드 관리자 앱을 내놓는다고 합니다. iCloud 키체인을 기반으로하며 윈도우에서도 작동할거라고 하는데.. 애플 동기화 이슈, 키 체인 데이터 이슈 등을 겪어보신 분들이라면 아마 무서워서 사용을 안하실듯 합니다. 특히 iOS 17.5 버그 사진 복원 사건이 개인적으로 소름끼쳤습니다. 애플 검열 글도 읽어보세요.
1Password 가격
패스워드 앱을 한 달만 사용하시는 분은 없다고 생각하기 때문에 1년 결제 기준으로 알려드릴게요. 어차피 14일은 무료로 사용할 수 있기 때문에 1개월 결제는 의미가 없어보여요.
- 개인 : 월 $2.99
- 비밀번호 생성기
- 로그인 자동 완성 및 공유
- 모든 기기에서 사용가능
- Watchtower 보안 침해 검사기
- 24시간 연중무휴 지원
- 패밀리 : 월 $4.99
- 개인 요금제의 모든 것
- 가족 구성원 5명까지 함께 사용 가능
- 관리자 제어
같이 사용할 가족이나 가족급 패밀리 요금제가 진짜 좋긴 하네요. 패밀리 계정은 ‘가족 공유 금고’가 있어서 원하는 정보를 함께 공유할 수 있다고 합니다. 대표적인 것이 넷플릭스 아이디, 비밀번호가 있겠죠. 이건 가족이 아니더라도 함께 계속 사용할 친구, 지인만 있으면 정말 저렴하게 사용이 가능하겠습니다. 5명 꽉 채우면 월 1달러예요.
그래서 인터넷에 보면 가끔 1password 파티원 구하는 글이 보입니다. 그런데 파티원 관리가 은근히 귀찮아서 저는 그냥 마음 편하게 1인용 개인 계정으로 결정했어요.
마무리
이 정도면 1Password 구매 전에 검색중이신 분들에게 적당한 정보 전달이 되지 않았을까.. 라는 생각이 들어서 마무리 합니다. 최고의 비밀번화 관리자라는 수식어가 붙을만 하다고 봅니다. 잘 만들었어요. 과거에는 아이폰, 맥 유저에게는 확실히 최고다 라는 평가가 있었는데, 윈도우와 안드로이드에서 사용해도 별 차이 없이 좋습니다.
일단 1년치 구매했으니 한동안 1Password를 메인으로 사용해보려고 합니다. 실컷 사용해보고 만족스럽지 않은 부분이 있으면 다시 돌아와도 되니까요.
현재 프로모션을 확인해보세요 [공식 홈페이지 바로가기]
그리고 이런 관리 앱 쓰면 비밀번호를 엄청 복잡하게 해서 제공하고 저장하던데, 집이나 폰에서 사용할때는 참 좋은데 구글 같은걸 밖에 있는 공동 컴퓨터로 로그인하려면 어떻게 해야하나요??
관리 앱에서 비밀번호 생성 패턴도 내가 원하는대로 정할 수 있습니다.
영문자만 사용하기, 영문+숫자만 사용하기, 특수문자 함께 사용하기 등 옵션 선택하시면 되구요.
구글이나 네이버 등 중요한 계정은 보통 공동 컴퓨터에서는 로그인을 거의 안하는데 꼭 해야한다면 아래의 방법을 추천드립니다.
0. 2차 인증은 무슨 일이 있어도 꼭 설정하셔야 합니다.
1. 그리고 시크릿 모드 (컨트롤 + 쉬프트 + N)를 띄워서 사용하세요.
2. 비밀번호를 타이핑하기 쉽도록 숫자와 특수문자 섞지 마시고 본인이 좋아하는 단어 5개에서 6개 정도 섞어 쓰셔도 됩니다. (예 : love-friday-night-walking-mydogs-happy) 더 길게하셔도 됩니다. 그럼 외울수도 있고, 헷갈리면 스마트폰 앱에서 확인하고 타이핑하기도 쉽습니다. 비번은 중복되지 않고 길면 안전합니다. 굳이 숫자, 대문자, 특수문자 섞지 않으셔도 괜찮아요.
그럼 친구 컴퓨터에서 로그인한다고 가정해볼게요.
1. 친구 컴퓨터 크롬 웹브라우저를 켠다.
2. 시크릿 창을 띄운다.
3. 로그인 한다.
4. 비밀번호가 헷갈리면 스마트폰 비밀번호 관리 앱을 켜서 한번 더 확인 후 타이핑 (쉬운 문자 조합이니 보고 바로 치기 쉽죠.)
5. 2차 인증 (폰 문자 등)
6. 시크릿 창이니 그냥 꺼도 되지만 좋은 습관을 위해 로그아웃은 하고 끈다.
비밀번호 관리 앱이라곤 크롬에서 자동저장, 애플 자동저장을 폰, 윈도우에 깔아서 동시에 쓰는것밖에 없다가 익스vpn 쓰면서 써봤는데,
쓰레기네요… 로그인 돼있는데 로그인 하라그러고 비밀번호 관리앱을 따로 구매하긴 그렇고 섭샥이나 노드에서 쓸만한게 있을까요? 애플 암호도 가져올 수 있는지 궁금하네요. 익스는 된다하고 안돼요 ㅜㅠ
이런…;; ExpressVPN Keys 개발 속도가 느린가 보군요. 지금쯤이면 꽤 좋아졌을거라 생각했는데.. VPN 회사의 비밀번호 관리앱 중에서는 NordPass의 완성도가 좋습니다. https://netxhack.com/apps/nordpass/ 리뷰입니다. 제작년 출시됐을때 사용했는데도 좋았습니다. https://nordpass.com/blog/desktop-app-update-notes/ 릴리즈 노트를 보면 업데이트도 굉장히 꾸준하고 다른 회사와 다르게 투자하는 것을 눈으로 확인할 수 있어요.
덕분에 pcloud도 결제했는데
노드도 사야겠습니다. 책임지세요…
vpn 3신기 갑니다 저두
VPN + Password 패키지는 Nord가 가장 좋은데 혹시 나중에 패스워드 앱 하나만 따로 쓰실거면 1password, Bitwarden 둘 중 하나를 고르세요!
전 1password가 섹션이랑 잡다한영역까지 마음대로 추가할수 있고, 다른 비밀번호 관리자처럼 비번 생성기, 2차인증 이런 항목이 분리된게 아니라 항목 안에 추가하는 방식이라 편하더라구요
정말 편해요. Bitwarden도 통합인데 이제 다들 이런 추세로 갈것같아요. 2차인증 같이 입력되는건 한번 써보면 너무 편해서 없이는 못살죠 ㅎㅎ
1password 지금은 proton pass 쓰지만 예전에 1password쓸때 매우 고민했습니다. 역시 UI가 이쁘고 당시엔 proton pass는 한국어가 없어서.. 다만 지금은 다시 1password 넘어가고 싶지는 않네요 simplelogin 통합 이후 별칭기능이 매우 맘에 들거든요. 스팸이든 뭐든 별칭 삭제 딸각이면 메인 메일은 아무일도 없어지니까요. 일회용 메일은 추후 이메일 인증시 매우 곤란하지만 이건 그런거 없이 일회용 이메일의 장점을 대부분 누려서 좋더라고오. 요즘은 잘모르는 사람과 이메일에서도 이거 써요.
simplelogin 인수는 정말 잘한거같아요. 저는 이런 차별화 포인트가 필요하다고 생각해요. standard notes가 어떻게 통합될지 기대돼서 기다리고 있습니다.
예전에 proton이 개인정보를 존중하는 구글이 된다는 기사를 보았는데 구글 워크스페이스를 스스로 구현시키네요.
제발 피드백, 개발 속도만 좀ㅋㅋㅋ