패스워드 매니저를 쓰기 시작했다
패스워드 매니저의 존재와 개념에 대해서 대충 알고는 있었지만 없어도 삶은 잘 굴러갔기에 굳이 써보지는 않았었다. 그러다가 전 회사에서 소셜미디어 계정이나 일부 공유계정의 비밀번호를 Lastpass 비지니스 플랜을 통해 관리하고있었기에 써보고 그 개념과 장점을 이해하게 되었다. 대부분 패스워드 매니저의 비지니스 플랜에서는 사용자에게는 패스워드를 보여주지는 않으면서 패스워드를 대신 입력해주어서 안전하게 공용계정을 관리할수 있게 해준다.
매니저의 장점을 잘 이해하게 되어 개인 패스워드 관리용으로도 쓰고자 알아보았다. 당시에는 Lastpass 가 개인용 멀티 디바이스 동기화도 무료였기때문에 Lastpass 를 개인용으로도 사용하기 시작했다. 패스워드 매니저의 장점은 매우 많지만 패스워드를 안전하게 관리할 수 있을뿐 아니라 각 서비스마다 각기 다른 패스워드를 써도 관리가 가능하기 때문에 하나의 서비스 패스워드가 노출되어도 다른 서비스의 패스워드는 안전하다. 그래서 각 서비스의 패스워드들도 겹치지 않는 것으로 하나하나 바꾸어 나갔다.
Lastpass -> 1Password v6
그러다가 어떤 계기였는지는 정확히 기억이 나지 않지만 1Password 라는 도구로 바꾸게 되었다. 아마 회사용 과 개인용 패스워드 매니저를 같은 회사 제품을 쓰는 것에 대한 불편함 이었을 수도 있고 시장에서 1등 제품인 1Password 를 쓰고싶었던 것일수도 있겠다. 그리고 내 기억으로는 1Password 사용자 경험은 매우 스러웠다. 1Password v6를 썼는데 v6는 일회성 구매방식으로서 모바일 앱은 무료, Mac app 은 일회성 구매였다. 데스크탑 앱을 플랫폼별로 따로 구매하는 방식이었는데 내가 주로 Mac을 쓰기 때문에 Mac app만 구매하였고 윈도우에서 로그인할일이 있으면 필요할때마다 모바일에서 비밀번호를 확인해서 타이핑 해서 쓰곤 했다. 1Password는 시장 1등 제품답게 완성도도 높았고, 기능도 많았고, 편리했기에 OTP앱 1Password것을 쓰고 보안노트, 내가 구매한 소프트웨어 라이센스 키관리 등 패스워드 매니저에서 제공하는 다양한 기능들을 고루 사용했다.
그러다가 2018년 5월에 1Password version 7이 나왔는데 구독경제 라는 트렌드에 맞게 월 구독 모델로 판매를 시작했다. 이제는 월 구독료를 내고 쓰는 대신에 각 플랫폼별 앱을 따로 구매할필요는 없게 되었다. (기존 구매방식도 존재하는것 같기는 한데 찾기 힘들거나 없어진것 같다) 하지만 나는 꼭필요한 것 이외에는 구독을 잘 하지 않으려고 하고있고, version 6를 구매한지 그리 오래되지도 않은 시점이었는데다가 당분간은 version 6도 계속 쓸수 있다고 하여서 업그레이드를 하지는 않았다. 그렇게 3년이 지나고 아직도 version 6는 잘 동작하지만 version 6 다운로드 링크나 브라우져 플러그인이 점점 1Password사이트에서 찾기 힘들어지고 version 8이 나오면 왠지 곧 지원이 끊기거나 현실적으로 쓰기 힘들게 될것 같다는 느낌이 들어서 대안을 찾아보고 있었다.
패스워드 매니저를 구독하라고?
나는 실제로 다양한 서비스를 구독한다. 유튜브 프리미엄이라던지, 넷플릭스, 음악 서비스 같은 콘텐츠 구독은 일단 이해가 간다. 계속 새로운 콘텐츠를 제공하고 스트리밍하는데 돈이 드니까 말이다. MS오피스, 어도비, 젯브레인은 뭔가 일을 잘하게 도와주는 생산을 위한 도구이면서 대안을 찾기 힘들정도로 잘 만들었으니 구독할만 하다. 클라우드 용량 같은것을 주기도 하고 그런 제품을 만들려면 비싼 개발자가 많이 필요할테니 말이다. 1Password는 물론 매우 잘 만든 프로그램이고 시장 1등이지만 대체제가 없는 정도의 시장 위치는 아니다. 그리고 1Gb 스토리지를 주지만 그닥 저장할게 많을까 싶은데 구독료는 한달에 3,500원 (한달에 $3) 나 내야 한다. 패스워드 매니저라는 것이 하루에도 여러번 쓰는 것이고, 나의 보안을 위해서 투자할만하다는 생각도 살짝 들지만…. 너무 비싸다는 결론.
게다가 1Password v6는 동기화를 Dropbox 로 하고있었고 일회성 구매로 쓰고 있었기 때문에 더욱더 구독에 손이가지 않았다.
떠오르고 있는 Bitwarden 을 선택하다
Bitwardne Wikipedia 에 따르면 Bitwarden 은 2016년에 처음 나왔고 2018년에 외부 보안 audit을 받고 작년인 2020년에 추가로 다양한 보안 검증을 받은 도구로서 1Password 보다 훨씬 젊은 프로젝트이다. 하지만 기본적으로 클라이언트가 오픈소스로 공개되어있고 기기간의 동기화를 무료 plan에서도 제공하고 있어서 사용자를 빠르게 넓혀가고 있다. 그리고 1Gb 파일첨부 용량을 제공하는 유료 개인용 plan도 1Password보다 훨씬 저렴한 한달에 1천원 (1년에 $10)라서 이정도면 구독이라도 충분히 쓸만하다. 패스워드 매니저에 무슨 파일 첨부냐 싶겠지만 실제로 Private Key 나 일부 라이센스 파일 등을 저장하려면 용량이 있으면 유용하다. 사람에 따라서는 신분증 사진이나 증명서 같은것 같이 개인정보에 해당하는 것도 저장하기도 하는거 같다.
Bitwarden 의 장점
- Bitwarden 서버에 패스워드가 저장되는 것이 싫은 사람들을 위해서 on-premises 호스팅 기능을 제공한다. 그런데 나는 귀차니즘으로 인해서 그냥 Bitwarden 서버를 쓰고 있지만 직접 호스팅하는 옵션을 제공한다는 것은 큰 장점이다. Rust 로 만들어진 Bitwarden 호환 서버는 꽤 성능이 좋다고 알려져있다.
- 문서화가 꽤 잘 되어있다. 문서 페이지가 이쁘지는 않지만 필요한 내용이 잘 나온다
- 오픈소스이다. 오픈소스라서 따라오는 장점들이.. 꽤 있다. 보안이라던지 생태계라던지 등등
- 장점을 더 알고 싶은 사람들은 What makes Bitwardne so great? 이라는 Reddit을 참고하면 좋다. 그리고 1Password 의 장점을 알고싶은 사람들을 위한 글도 있다. What makes 1Password so great? 둘다 읽어보고 판단하면 될듯.
Bitwarden 의 단점 (1Password와 비교해서)
단점이 1Password에서 옮겨가고자 하는 분들을 위한 이 글의 핵심이 되겠다. 2021년 10월 주로 Mac 버전에서 1Password v6를 쓰는 사용자의 케이스라는 것을 참고해주기 바란다. 요약하자면 제품으로서 심각한 단점은 아직 없지만, 1Password에서 넘어오면서 느낌 아쉬운점들이꽤 있다. 그런데 찾아보면 Bitwarden 제품 로드맵에 있어서 곧 개선될 것들도 있고, 빠르게 발전하고 있으니 대부분 곧 따라잡지 않을까 싶다.
- Mac 앱이 덜 이쁘다. reddit을 보니 이견이 있는 사람도 있지만 이건 대부분 동의할듯. Bitwarden Reddit 에서는 Bitwarden이 더 낫다는 사람도 있기는 하다. 내가 보기에 덜 이쁠뿐 아니라 사용성과 디테일이 떨어지는 점이 꽤 보인다. Windows/Linux 앱은 괜찮다는게 아니라 내가 안써봐서 비교 불가능.
- item type이 다양하지 않음: 1Password에는 Login type 뿐 아니라 id 없이 password 만 있는 경우를 위한 Password 타입, 라이센스 관리를 위한 Software License 타입, 등등이 다양하게 제공된다.
소프트웨어 라이센스 type이 없어서 노트에 넣고 카테고리로 관리하면 되기는 하지만 불편한것은 사실이다. 그런데 Bitwarden Roadmap에 따르면 올해 안에 새로운 item type 들이 추가될것 같다. 빨리 지원해주기 보다는 제대로 만들어주기를 기대해보고 있다.
- 아래는 여러가지 상황에서 전체적으로 알림이나 팝업의 아쉬움 들이다.
- 하나의 사이트에 계정이 어렷이 있을수 있다. 예를 들어서 트위터 계정을 여러개 가지고 있는 경우가 그렇다.
단축키로 패스워드 입력시 계정이 여럿일때 1Password 같은 경우에는 팝업이 뜨면서 계정 선택을 하게 해주는데 Bitwarden 은 그냥 입력해주고 단축키를 한번더 누르면 여러 계정이 rolling이 된다. - Bitwarden 에 로그인이 안되어있을때 사이트에 로그인하기 위해 단축키를 누르면, 로그인이 안되어있다는 것을 알림도 주지않고 그냥 동작을 하지 않는다. 그러면 알아서 Bitwarden을 켜서 로그인을 해주어야 한다. 1Password 같은 경우는 로그인이 안되어있으면 로그인 팝업이 뜬다.
- TOTP를 쓰는 사이트의 경우 자동 OTP 값이 클립보드 메모리에 복사까지는 되지만 클립보드를 덮어썼다는 알림이 뜨지 않는다.
1Password 는 시간이 지나면 클립보드 내용을 복구도 해주지만 Bitwarden은 돌려놓지 않는다.
- 하나의 사이트에 계정이 어렷이 있을수 있다. 예를 들어서 트위터 계정을 여러개 가지고 있는 경우가 그렇다.
1Password6 -> Bitwarden 백업+복구 과정
- 1Password 백업파일을 Bitwarden으로 보내기 위해서는 Bitwarden 웹사이트에 평문 패스워드가 포함된 백업 파일을 업로드하거나 또는 commandline 도구를 써야 한다. 내 비밀번호가 잔뜩 들어있는 파일은 웹에 업로드 한다는건 아무리 확인한다고 해도 뭔가 불안하고 찝찝한 일이 아닐수 없다.
- 1Password 에서 관리하던 폴더 분류는 백업시에 살아나지 않는다. Bitwarden도 폴더 기능이 있지만 복구할때 보니 폴더 정보는 이동이 되지 않는 걸 보고 실망했다. 그닥 많지는 않아서 노가다로 처리 했다.
- 일부 라이센스나 key 파일의 경우 첨부파일로 되어있으나 백업과정에서 자동으로 이동되지 않는다. 손으로 하나하나 이동해야 했다. 하지만 패스워드 매니저에 있는 첨부파일의 수가 워낙 많지 않아서 이것도 큰 불편은 아니었다.
- 1Password 백업파일에는 생각보다 불필요한 정보가 많이 들어가있는것 같다. Bitwarden으로 이동후 확인해보니 일부 계정에는 아래와 같이 불필요한 custom field 가 들어있는 경우가 꽤 있었다. 그리고 그중에는 비밀번호가 평문으로 보이도록 되어있었다. 이런 쓰레기 값들이 보이면 시간날때 지워주고 있다.
결론
소프트웨어 엔지니어로서, 보안에 관심이 있는 사람으로서 패스워드 매니저는 나의 가장 중요한 도구 중에 하나이다. 그리고 Bitwarden 은 가장 빠르게 사용자를 넓혀가고 있고 빠르게 발전하고있는 믿을만한 프로젝트 이다. 커뮤니티에 공개한 Roadmap 에 의하면 내가 부족하다고 했던 item type 들도 올해 안에 추가될것 같고, 다른 아쉬웠던 점들도 하나하나 나아지지 않을까 예상한다. 1Password 에서 Bitwarden 으로의 이동은 잘 한 결정이었다고 생각한다.
현재 시점에서 1Password 는 Bitwarden 보다 3~4배정도 구독료가 비싸고 제품은 1.5~2배정도 좋다. 1Password 8 이 early access 버전이 나왔기에 얼마후 정식버전이 나오면 1Password 6로 버티기는 조금더 힘들어 질지도 모른다. 1Password의 기본기능뿐 아니라 다양한 기능을 쓰는 사용자라면 결과적으로는 아직은 Bitwarden으로 이동하는 것은 이르지만 1년정도만 더 기다리면 더 많이 따라오지 않을까 싶다. 나는 이미 Bitwarden으로 이동해 버렸지만 아직 이동 안하신 분이 있다면 일단 1Password를 1년정도 더 쓰는 것을 추천하고 싶다. 그리고 아직 패스워드 매니저를 쓰지 않는 첫 사용자라면? 첫 패스워드 매니저로 Bitwarden을 추천한다!