광고비 순위가 아닌 외부 보안 감사·표준 인증·사고 이력을 기준으로 비밀번호 관리자 6종의 신뢰도를 정리했습니다. 모든 항목은 zero-knowledge 아키텍처(서비스 제공자도 vault 내용을 볼 수 없는 구조)를 채택하고 있으며, 외부 감사 보고서가 공개된 곳만 포함했습니다.
이 글이 다루는 것
- Cure53, AppSec 같은 외부 보안 감사가 어떤 검증을 하는지
- SOC 2 Type 2 / ISO 27001 / FedRAMP 인증의 차이
- 1Password, Bitwarden, NordPass, Dashlane, Keeper, Proton Pass 각각의 감사 현황
- LastPass 2022년 사고에서 배울 점
외부 보안 감사 기관
Cure53은 베를린 기반 침투 테스트 전문 기업으로, 이 글에 등장하는 6개 비밀번호 관리자 모두가 외부 감사를 의뢰하는 업계 표준입니다. 감사 보고서는 PDF로 공개되며 발견된 취약점, 수정 여부, 재검증 결과까지 함께 공시됩니다.
AppSec은 1Password가 정기적으로 의뢰하는 또 다른 감사 기관입니다. 코드, 인프라, 운영 절차를 함께 검증합니다.
그 외 NCC Group, Insight, Fairwaves 등이 비밀번호 관리자 업계에서 자주 인용되는 감사 기관입니다.
표준 인증의 의미
SOC 2 Type 2
미국 공인회계사회(AICPA) 표준입니다. 보안·가용성·기밀성·프라이버시·처리 무결성 다섯 항목에 대해 일정 기간(보통 6~12개월) 운영 실제를 감사받습니다. Type 1은 특정 시점 검증, Type 2는 운영 기간 검증입니다. 신뢰도가 더 높은 쪽은 Type 2입니다.
ISO 27001
국제 정보보호 관리체계 표준입니다. 정책, 위험 평가, 자산 관리, 접근 제어 등 보안 관리 체계 전반을 검증합니다.
FedRAMP
미국 연방정부가 사용하는 클라우드 서비스에 요구하는 보안 표준입니다. 일반 소비자용 비밀번호 관리자 중 FedRAMP 인증을 보유한 곳은 Keeper가 거의 유일합니다.
1Password 보안 감사
인증: SOC 2 Type 2, ISO 27001
외부 감사: Cure53, AppSec 정기 감사 (보고서 공개)
사고 이력: 없음
마스터 패스워드 외에 Secret Key를 추가로 요구하는 이중 보호 구조가 핵심입니다. Secret Key는 사용자 기기에서 생성되어 1Password 서버에는 절대 전송되지 않으므로, 설령 마스터 패스워드가 유출되어도 vault 단독 접근이 불가능합니다. AES-256-GCM 암호화와 PBKDF2 키 강화를 함께 사용합니다.
Bitwarden 보안 감사
인증: SOC 2 Type 2, GDPR 준수
외부 감사: Cure53, Insight, Fairwaves
사고 이력: 없음 (오픈소스로 코드 상시 검증 가능)
전체 클라이언트 코드가 GitHub에 공개된 오픈소스라는 점이 가장 큰 차별점입니다. 누구나 코드를 직접 검증할 수 있고, 원하면 자체 서버에서 직접 호스팅할 수도 있습니다. 외부 감사뿐 아니라 커뮤니티 단위의 상시 검증이 가능해 신뢰도가 높습니다.
NordPass 보안 감사
인증: ISO 27001
외부 감사: Cure53 2회 (보고서 공개)
사고 이력: 없음
NordVPN을 운영하는 Nord Security가 만든 비밀번호 관리자입니다. AES-256 대신 차세대 알고리즘인 XChaCha20을 채택했고, Cure53 감사 보고서를 두 차례 공개했습니다. NordVPN을 이미 쓰는 사용자라면 결제·계정 통합이 편리합니다.
Dashlane 보안 감사
인증: SOC 2 Type 2
외부 감사: Cure53
사고 이력: 없음
프랑스에서 시작해 현재 미국 본사를 둔 서비스입니다. Zero-knowledge 아키텍처와 Argon2 키 강화를 채택했고, 다크웹 모니터링과 Hotspot Shield VPN 묶음이 다른 서비스와 차별화되는 부분입니다.
Keeper 보안 감사
인증: FedRAMP Moderate, SOC 2 Type 2, ISO 27001
외부 감사: 외부 감사 정기
사고 이력: 없음
일반 소비자용 비밀번호 관리자 중 FedRAMP 인증을 가진 거의 유일한 서비스입니다. 미국 연방정부, 국방·금융 기관이 정식 도입했고 Fortune 500 다수도 사용합니다. 인증의 양만 놓고 보면 업계 최고 수준입니다.
Proton Pass 보안 감사
인증: Proton 그룹 ISO 27001 보유 (Pass 자체 별도 인증 진행 중)
외부 감사: Cure53
사고 이력: 없음
ProtonMail, ProtonVPN을 운영하는 스위스 회사 Proton의 비밀번호 관리자입니다. 2023년 출시된 신생이지만 모든 클라이언트 코드를 오픈소스로 공개하고 Cure53 외부 감사도 완료했습니다. 스위스 데이터 보호법의 보호를 받습니다.
LastPass를 추천하지 않는 이유
LastPass는 2022년 8월부터 12월 사이 두 차례 침해를 겪었고, 결과적으로 고객 vault 백업 전체가 외부로 유출되었습니다. 마스터 패스워드 자체가 평문으로 저장되지는 않았지만 일부 메타데이터(저장된 사이트 URL)는 평문이었고, vault 본문은 사용자별 마스터 패스워드 강도에 따라 해독 가능성이 달랐습니다.
사고 후 LastPass는 키 강화 강제, 인프라 분리 같은 보안 조치를 시행했지만, 사고 공시가 단계적으로 이뤄지면서 신뢰 회복에 어려움을 겪고 있습니다. 같은 가격대에 안전한 대안이 충분한 만큼 추천 목록에서 제외했습니다.
요약
- 외부 보안 감사는 Cure53 정기 감사가 사실상 업계 표준
- 인증은 SOC 2 Type 2가 가장 보편적이며, 정부·금융 환경에는 FedRAMP가 의미 있음
- 1Password, Bitwarden, NordPass, Dashlane, Keeper, Proton Pass 6종 모두 zero-knowledge + 외부 감사 검증을 통과
- LastPass는 2022 사고로 신뢰 회복까지 시간이 필요해 추천에서 제외