마이크로소프트 엣지 브라우저의 비밀번호 평문 노출 결함 및 보안 논란

Microsoft 엣지브라우저 비밀번호관리자 사이버보안 데이터유출

5/5/2026

토킹 포인트

마이크로소프트 엣지 브라우저가 실행 시 저장된 모든 비밀번호를 암호화되지 않은 평문 상태로 메모리에 로드하는 현상 발견.
사용자가 특정 웹사이트에 접속하지 않더라도 메모리 덤프를 통해 모든 계정 정보를 즉시 추출할 수 있는 심각한 설계적 허점 노출.
구글 크롬 등 다른 크로미움 기반 브라우저와 달리 엣지만이 유독 취약한 데이터 처리 방식을 고수하고 있다는 연구 결과 확인.
마이크로소프트 측은 해당 동작이 의도된 설계임을 주장하며 보안 패치에 소극적인 태도를 보여 전문가들의 강력한 비판 직면.

시황 포커스

마이크로소프트 엣지의 비밀번호 관리 시스템이 보안 전문가들로부터 현대적 보안 기준에 미달하는 심각한 설계 결함을 가졌다는 평가를 받고 있음.
공용 PC나 터미널 서버 환경에서 관리자 권한을 획득한 공격자가 로그인된 모든 사용자의 계정 정보를 손쉽게 탈취할 수 있는 구조적 위험이 확인됨.
마이크로소프트가 이번 결함을 '의도된 설계'라고 답변한 것에 대해 보안 업계에서는 편의성을 위해 보안을 희생한 무책임한 처사라는 비판이 거셈.
기술적 숙련도가 낮은 공격자도 메모리 읽기 도구를 통해 정보를 훔칠 수 있다는 점에서 인포스틸러 악성코드 확산의 촉매제가 될 우려가 있음.
기업 보안 담당자들 사이에서 엣지의 기본 비밀번호 저장 기능을 비활성화하고 검증된 독립형 암호 관리 솔루션으로 대체해야 한다는 목소리가 커지고 있음.
크롬 등 타 브라우저 대비 보안 경쟁력이 약화됨에 따라 브라우저 시장 내 신뢰도 하락 및 점유율 이탈 가능성이 제기됨.
독일 연방정보보안청(BSI) 등 공신력 있는 기관들이 엣지의 비밀번호 관리 기능을 테스트에서 제외하거나 경고를 보낸 사례가 다시금 주목받고 있음.
이번 사태를 계기로 대형 IT 기업들의 '보안 우선 주의'에 대한 의구심이 증폭되고 있으며, 향후 규제 당국의 조치 여부에 시장의 관심이 쏠리고 있음.

트렌드 키워드

평문 (Plaintext):
암호화 과정을 거치지 않아 누구나 읽을 수 있는 형태의 데이터를 의미하며, 보안상 민감한 정보는 절대 이 상태로 노출되어서는 안 됩니다

“연구원에 따르면 마이크로소프트 엣지는 시작 시 저장된 모든 비밀번호를 평문 상태로 메모리에 로드하며, 이는 사용자가 세션 중에 해당 사이트를 방문하지 않더라도 마찬가지입니다.”
메모리 덤프 (Memory Dump):
특정 시점의 시스템 메모리 내용을 파일로 기록하는 작업으로, 시스템 오류 분석이나 이번 사례와 같은 보안 취약점 증명에 사용됩니다

“브라우저를 재시작한 후 작업 관리자를 통해 생성한 메모리 덤프 파일 내에서 간단한 검색만으로 사용자가 입력하기도 전인 비밀번호가 평문으로 발견되었습니다.”
크로미움 (Chromium):
구글이 개발한 오픈 소스 웹 브라우저 프로젝트로, 엣지와 크롬 등 현대 주요 브라우저의 핵심 엔진 역할을 합니다

“엣지는 크로미움 기반 브라우저 중 이러한 방식으로 동작하는 유일한 브라우저이며, 반면 크롬은 공격자가 메모리를 읽어 비밀번호를 추출하기 어렵게 설계되었습니다.”
CWE-316 :
소프트웨어 취약점을 분류하는 표준 목록 중 하나로, 민감한 정보가 메모리에 평문으로 저장되어 발생하는 보안 결함을 뜻합니다

“비밀번호는 사용 시점에만 복호화되고 즉시 메모리에서 삭제되어야 한다는 보안 상식과 달리, 엣지의 동작은 메모리 내 민감 정보 평문 저장이라는 취약점 분류에 해당합니다.CWE-316”
앱 바운드 암호화 (App Bound Encryption):
특정 애플리케이션의 식별 정보와 결합하여 데이터를 암호화함으로써 다른 프로그램이 데이터를 함부로 읽지 못하게 보호하는 기술입니다

“구글 크롬은 보안 업계의 권고에 맞춰 앱 바운드 암호화 시스템을 사용하여 데이터가 메모리에 평문으로 저장되지 않도록 철저히 관리하고 있습니다.”