보안 연구원은 2026년 4월 29일에 Microsoft Edge가 실행 시 저장된 모든 암호를 프로세스 메모리로 해독하고 사용자 활동에 관계없이 전체 세션 동안 암호를 일반 텍스트로 유지한다고 밝혔습니다. BigBiteOfTech에서 발표된 이 결과는 공유 Windows 환경에서 자격 증명 처리에 대한 심각한 우려를 불러일으킵니다. Cyber Security News에 따르면 @L1v1ng0ffTh3L4N으로 알려진 연구원은 주요 Chromium 기반 브라우저를 체계적으로 분석한 결과 Edge가 시작 시 일반 텍스트 메모리에 전체 비밀번호 저장소를 유지하는 유일한 브라우저인 것으로 나타났습니다.
공개된 내용에는 사용자가 Edge 브라우저에 일반 텍스트 자격 증명이 있는지 확인할 수 있는 공개 확인 도구가 포함되어 있습니다. 5월 4일, 연구원 Tom Joran Sonstebyseter Ronning은 연구 결과에 대한 비디오 시연을 게시했고, 곧 5,900개의 답변이 생성되었습니다. Microsoft는 공개에 대해 이러한 동작이 “설계에 따른 것”이라고 밝혔습니다.
Edge의 비밀번호 처리는 Google Chrome의 관행과 크게 다릅니다. Cyber Security News에서는 Chrome이 주문형 암호 해독을 사용하여 필요한 경우에만 자격 증명을 잠금 해제하고 암호 해독 키를 인증된 프로세스에 바인딩하는 앱 바인딩 암호화를 활용한다고 강조했습니다. 반면 Edge는 실행되는 순간부터 저장된 모든 자격 증명을 일반 텍스트로 로드하므로 잠재적인 메모리 기반 추출 공격에 노출됩니다.
비밀번호를 공개하기 전에 사용자에게 재인증하라는 메시지를 표시하더라도 메모리에서 동일한 자격 증명에 액세스할 수 있으므로 이러한 메시지는 메모리 기반 공격에 효과적이지 않습니다. 수석 보안 운영 전문가인 Angus Holliday는 Microsoft의 앱 바운드 암호화가 저장 중인 데이터를 보호하지만 메모리는 보호하지 않는다는 점을 분명히 했습니다. 2026년 1월 27일에 업데이트된 Microsoft 정책 문서에는 앱 바운드 암호화를 비활성화하면 승인되지 않은 애플리케이션이 암호화 키에 액세스할 수 있다고 명시되어 있습니다.
이 취약점은 공유 또는 다중 사용자 환경에서 두드러집니다. 관리 권한이 있는 공격자는 로그온한 모든 사용자 프로세스의 메모리를 읽을 수 있으므로 여러 사용자의 자격 증명이 노출될 가능성이 있습니다. 공개 개념 증명 비디오에서는 관리자 계정이 Edge 프로세스 메모리에 액세스하여 다른 사용자로부터 저장된 자격 증명을 성공적으로 추출하는 모습을 보여주었습니다.
Microsoft는 Edge의 암호 관리자에 관한 공개 문서가 메모리 내 자격 증명의 취약성을 인식하고 있지만 그러한 공격을 브라우저의 위협 모델 외부로 분류한다는 점을 인정합니다. 문서에는 로컬 공격이나 맬웨어가 해독된 브라우저 저장소에 액세스할 수 있다고 경고하고 있으며, 특히 Edge 사용을 표준화하는 조직의 경우 Edge 설계에 내재된 위험에 대한 우려가 제기됩니다.
최고 정보 보안 책임자(CIO)인 Mike Pedrick은 일부 조직에서는 Edge를 유일한 허용 브라우저로 지정하여 보안보다 표준화를 우선시한다고 언급했습니다. Cyber Security News는 Edge가 포함된 Windows 환경을 운영하는 보안 팀은 Microsoft가 이 설계 문제를 수정할 때까지 더 나은 보안 방식을 갖춘 브라우저로 마이그레이션하는 것을 고려해야 한다고 조언했습니다.
글로벌 브라우저 시장에서 Edge는 2025년 1분기 기준 7.018%의 점유율을 차지하며 Chrome, Safari에 이어 3위를 차지했습니다. 그러나 Edge가 관리되는 Windows 장치의 기본 브라우저인 경우가 많은 기업 환경에서는 시장 점유율이 상당히 높아 특히 마케팅 및 광고 부문에서 데이터 처리 문제가 제기됩니다.
<시간 />
