Chaos and Order

💡 왼쪽 원문을 읽으면서 오른쪽에 따라 써보세요. Tab 키로 힌트를 받을 수 있습니다.

원문 렌더가 준비되기 전까지 텍스트 가이드로 표시합니다.

> 2025년 말 NIST가 SP 800-63B-4를 확정 발표하면서 "주기적 강제 변경 금지", "최소 15자 권장", "패스키 우선" 같은 권고가 표준이 되었다. 패스워드 매니저는 더 이상 "있으면 좋은 도구"가 아니라 "없으면 직무유기"인 인프라가 됐다. 그런데 2026년 시장은 LastPass 사태의 잔향, 1Password 8의 Electron 리라이트 안정화, Proton Pass의 무료 공습, OS 내장 솔루션의 약진이 동시에 일어나고 있다. 이 글은 14가지 주요 매니저를 정직하게 비교한다.

2026년 패스워드 매니저 지도 — 상용 / 오픈소스 / 무료 OS 내장 3 진영

2026년 시장은 사실상 세 진영으로 갈라졌다.

| 진영 | 대표 제품 | 강점 | 약점 |

|---|---|---|---|

흥미로운 것은 세 진영이 서로의 영역을 빠르게 침범하고 있다는 점이다. 애플은 iOS 18에서 처음으로 독립 Passwords 앱을 분리해내며 "OS 내장은 약하다"는 선입견을 흔들었고, 구글은 Android 15부터 Credential Manager를 통합 API로 표준화했다. Proton Pass는 "무료 + E2EE + 오픈소스"라는 조합으로 Bitwarden의 점유율을 직격하기 시작했고, 1Password는 Watchtower와 SSH 키 관리, Developer 도구로 한 발 앞서 가려 하고 있다.

선택 기준의 우선순위도 2026년에 재정렬됐다. (1) 패스키(Passkey) 지원 품질, (2) 크로스 플랫폼 동기화 안정성, (3) E2EE 아키텍처 투명성, (4) 가족/팀 공유 모델, (5) 2FA 토큰 보관 정책, (6) 사고 발생 시 책임 구조 — 이 순서로 봐야 한다. 가격은 마지막 변수다. 데이터를 잃거나 유출당했을 때의 비용이 모든 매니저의 평생 구독료를 압도하기 때문이다.

LastPass 2022 사태와 그 영향 — 왜 신뢰가 중요한가

LastPass는 2022년 8월과 11월 두 차례 공격을 받았다. 두 번째 공격에서는 GoTo(LogMeIn)에 호스팅된 백업 저장소에서 암호화된 vault 데이터, URL 메타데이터, 일부 평문 IP/이메일이 유출됐다. vault는 마스터 패스워드로 보호되어 있었지만, 공격자가 오프라인 brute-force를 무한정 시도할 수 있게 됐다는 점이 결정타였다. 마스터 패스워드가 약하거나 PBKDF2 반복 횟수가 낮은 사용자(레거시 설정에서 5,000회만 사용한 사례 존재)는 사실상 노출 상태가 되었다.

LastPass 사태가 2026년까지 남긴 교훈은 세 가지다.

1. **메타데이터도 비밀이다.** vault의 URL, 폴더 구조, 첨부 파일 이름은 LastPass에서 평문이었다. 공격자는 "이 사람이 어느 거래소·은행·기업 SaaS를 쓰는가"를 정확히 알 수 있었다. 이후 1Password, Bitwarden, Proton Pass는 모두 메타데이터까지 암호화하는 방향으로 강화했다.

2. **KDF 파라미터 투명성이 중요하다.** 사용자가 자기 vault의 PBKDF2/Argon2 반복 횟수, 메모리 비용, 병렬도를 직접 확인하고 조정할 수 있어야 한다. Bitwarden은 2023년부터 Argon2id를 기본 옵션으로 제공한다.

3. **사고 공지의 진정성.** LastPass의 사후 커뮤니케이션은 "사용자가 마스터 패스워드를 잘 만들었다면 안전하다"는 책임 회피로 비춰졌고, 이는 회복 불가능한 신뢰 손상을 남겼다. 2026년 LastPass 시장 점유율은 글로벌 기준 한 자릿수로 추락했다.

LastPass는 지금도 운영되고 있고 제품 자체는 개선되었지만, 보안 도구의 본질이 "신뢰"라는 점에서 회복은 느리다. 새 사용자에게 LastPass를 첫 선택지로 권하는 보안 리서처는 2026년 현재 거의 없다.

1Password 8 — 가족/비즈니스의 표준

1Password 8은 Electron 기반 데스크톱 리라이트로 출발해 초기 macOS 사용자들에게 욕을 많이 먹었지만(네이티브 키체인 통합, 메모리 사용량, 단축키 손실), 2024–2025년에 걸쳐 성능이 안정화되었고 2026년 기준 macOS Sequoia, Windows 11/12, Linux(공식 deb/rpm) 모두에서 1급 클라이언트 경험을 제공한다.

핵심 차별점은 다음과 같다.

- **Secret Key 아키텍처:** 마스터 패스워드 외에 클라이언트별로 생성되는 128bit Secret Key를 사용한다. 서버가 마스터 패스워드 해시만 가지고는 vault를 복호화할 수 없다. LastPass식 오프라인 brute-force가 사실상 불가능하다.

- **Watchtower:** Have I Been Pwned 통합, 약한/재사용 패스워드 감지, 만료 임박 도메인, 2FA 미설정 사이트, 약한 KDF 설정 경고를 한 화면에서 보여준다.

- **Travel Mode:** 국경에서 디바이스를 압수당했을 때를 위한 기능. 지정한 vault만 디바이스에 남기고 나머지는 서버에서만 보관한다. 압수 직전에 토글하면 민감 vault가 디바이스에서 깨끗하게 사라진다.

- **Developer 통합:** 1Password CLI(op), GitHub Actions integration, Kubernetes Operator, SSH agent 모드, Biome/Wasp 등 dev 도구의 secret 주입을 표준화했다.

- **Passkey:** 2024년 일반 사용자 GA. 2025년 가족 공유 패스키 GA. 2026년 비즈니스 SSO 연동 패스키 정착.

가격은 개인 $3.99/month, 가족(5명) $6.99/month, 비즈니스 $7.99/user/month. 30일 무료 평가판이 있고 학생/오픈소스 메인테이너 할인이 있다. 2026년 기준으로 "복잡한 가족 공유 + Watchtower + Developer 워크플로"를 한 번에 해결하고 싶다면 1Password가 사실상 디폴트 선택지다.

Bitwarden — 오픈소스 챔피언

Bitwarden은 클라이언트, 서버, 모바일 앱 모두 GPLv3로 공개된 풀스택 오픈소스 패스워드 매니저다. 2026년 기준 자가 호스팅(Vaultwarden 포함)으로 가장 많이 운영되는 솔루션이고, 무료 플랜만으로도 무제한 vault, 무제한 디바이스, 자체 동기화를 제공한다.

|---|---|---|---|---|---|

| vault 개수 | 무제한 | 무제한 | 무제한 | 무제한 | 무제한 |

| 디바이스 | 무제한 | 무제한 | 무제한 | 무제한 | 무제한 |

| 2FA 토큰 보관 | 미지원 | 지원 | 지원 | 지원 | 지원 |

| 파일 첨부 | 미지원 | 1GB | 1GB | 1GB | 1GB |

| 보안 리포트 | 기본 | Watchtower급 | Watchtower급 | 지원 | 지원 |

2026년 기준 주요 변화는 다음과 같다.

- **Passkey 지원:** 2024년 클라이언트 일반 GA. 2025년부터 vault에 패스키를 직접 저장하고 모든 플랫폼(웹, 데스크톱, 모바일)에서 동기화 가능.

- **Argon2id 기본:** 신규 가입자는 기본 KDF가 Argon2id. 기존 PBKDF2 사용자는 마이그레이션 가능.

- **자가 호스팅:** 공식 Bitwarden 서버 외에 Vaultwarden(Rust로 재작성된 호환 서버, 단일 컨테이너)이 인기. 가족/소규모 팀이 NAS·VPS에 올려 쓰는 경우가 많다.

- **Bitwarden Secrets Manager:** 2023년부터 별도 제품으로 KV secret 저장소를 제공. HashiCorp Vault의 라이트 대안 포지션.

Bitwarden은 "신뢰는 코드로 증명한다"는 철학을 견지하고, 2025년 1월에는 외부 라이선스 변경 우려에 대해 Mozilla Public License 2.0 일부 채택으로 정리했다. 2026년 기준 오픈소스 우선·자가 호스팅·무료 우선 사용자에게 가장 권할 만한 선택지다.

Proton Pass — 무료 + Proton 생태계

Proton Pass는 ProtonMail, ProtonVPN, ProtonDrive를 만든 스위스 Proton AG의 패스워드 매니저로, 2023년 정식 출시 후 2024–2025년 동안 폭발적으로 성장했다. 2026년 무료 플랜이 시장에서 가장 관대한 축에 속한다.

- **무료 플랜:** 무제한 vault, 무제한 디바이스, 무제한 hide-my-email 별칭 10개, 2FA 토큰 보관, Proton Sentinel 보안 모니터링, 패스키 저장 — 전부 무료.

- **Proton Unlimited($12.99/month):** Mail/VPN/Drive/Pass/Calendar 통합 번들. Pass Plus($4.99/month) 단독 플랜도 있다.

- **알리아스 시스템:** SimpleLogin 인수(2022) 후 Proton 메일 별칭과 통합. 사이트별로 일회용 이메일 별칭을 생성해 vault 항목에 묶을 수 있다.

- **E2EE:** Proton 전체가 그러하듯 클라이언트 사이드 암호화. 스위스 법인. PGP 호환 키 사용.

Proton Pass의 가장 큰 차별점은 "프라이버시 풀스택"이다. 메일, VPN, 드라이브, 캘린더, 패스워드를 한 회사에서 한 ID로 묶고, 결제 정보까지 한 곳에서 관리한다. 단점은 Proton 생태계 락인이 강해진다는 점이고, 미국·아시아 일부 지역에서는 동기화 지연이 1Password/Bitwarden보다 약간 길게 느껴질 수 있다.

Dashlane / NordPass / Enpass / RoboForm — 그 외 옵션

Dashlane

VPN 번들이 강점. 2024년 데스크톱 앱을 줄이고 웹 전용으로 전환한 결정이 사용자 일부의 반발을 샀지만, 브라우저 확장 품질은 여전히 좋다. 다크 웹 모니터링과 가족 공유 UX가 매끄럽고, 가격은 Premium $4.99/month로 평균보다 약간 비싸다.

NordPass

NordVPN, NordLayer를 만드는 Nord Security의 패스워드 매니저. XChaCha20을 메인 암호화로 사용하는 점이 차별화 포인트지만, 실질 보안 영향은 미미하다. Nord 생태계 번들 가격이 매력. 단독 사용자가 굳이 NordPass만 선택할 이유는 약하다.

Enpass

로컬 우선 매니저. vault 파일을 사용자가 직접 iCloud/Dropbox/OneDrive/WebDAV에 두고 동기화할 수 있다. 단발 결제(평생 라이선스) 옵션이 있어 "구독 피로"에 지친 사용자에게 인기. 단점은 가족 공유 UX가 약하고, 패스키 지원이 2025년 들어서야 일반 사용자 수준에 도달했다는 점이다.

RoboForm

오래된 강자. 2026년에도 살아 있지만 UI는 시대를 반영하지 못한다. 폼 자동 채우기 기능은 여전히 업계 최고 수준이라는 평가가 있어, 거래/예약/세금 신고처럼 폼이 많은 작업이 잦은 사용자에게는 의외로 유용하다. 단, 신규 사용자에게 적극 권하지는 않는다.

KeePassXC — 로컬 only 클래식

KeePassXC는 KeePassX의 포크로 시작해 지금은 KeePass 생태계의 사실상 정식 데스크톱 클라이언트가 됐다. 2026년 기준 macOS, Windows, Linux 모두에서 1급 네이티브 앱을 제공한다.

특징:

- **단일 .kdbx 파일.** vault 전체가 하나의 암호화된 파일이다. iCloud, Dropbox, Syncthing, SyncTrayzor, Git annex, USB 등 사용자가 원하는 방식으로 동기화하면 된다.

- **서버 없음.** Vendor 락인 제로. 서비스가 망해도 .kdbx 파일과 KeePass 호환 클라이언트만 있으면 영원히 읽을 수 있다.

- **YubiKey HMAC-SHA1 챌린지 응답.** 마스터 패스워드 + YubiKey 조합으로 2FA를 강제할 수 있다.

- **브라우저 통합:** KeePassXC-Browser 확장 + 네이티브 메시징.

- **모바일:** 공식 모바일 앱은 없다. iOS는 Strongbox, KeePassium 같은 서드파티를, Android는 KeePassDX를 쓴다.

KeePassXC의 약점은 모바일 경험과 가족 공유다. 가족 vault를 운영하려면 모든 가족이 KeePass 사용법을 배우고 동기화 방식을 합의해야 한다. 반대로 "내 데이터는 내 디바이스에만 있어야 한다"는 사용자에게는 2026년에도 단연 최고 선택지다.

iOS Passwords (iOS 18) + macOS Sequoia — 애플의 무료 강자

iOS 18(2024년 가을 출시)부터 애플은 Keychain의 패스워드 기능을 독립 "Passwords" 앱으로 분리했다. macOS Sequoia, iPadOS 18, visionOS 2에 모두 동일 앱이 들어간다. 2026년 기준 이 앱은 사실상 무료 패스워드 매니저 중 가장 잘 통합되어 있다.

- **iCloud Keychain 백엔드.** E2EE. 디바이스 모두 잃어버려도 iCloud Recovery Key/연락처/Apple ID 비밀번호 조합으로 복구 가능.

- **패스키 1급 지원.** Apple ID로 만든 패스키는 모든 Apple 디바이스에서 자동 동기화.

- **공유 그룹.** 가족과 공유할 항목만 별도 vault에 묶을 수 있다.

- **2FA 토큰.** TOTP 시드를 vault 항목에 저장하고 자동 채우기.

- **보안 권고.** 유출된 패스워드, 약한 패스워드, 재사용 경고를 자동 표시.

- **윈도우 통합.** Windows용 iCloud Passwords 앱, Chrome/Edge 확장 제공.

단점은 (1) Android에서의 사용 경험이 약하다는 점(iCloud for Windows + 브라우저는 되지만 모바일은 사실상 불편), (2) 가족이 모두 애플 사용자가 아니면 공유 vault의 의미가 줄어든다는 점이다. 풀 애플 가족이라면 2026년에는 굳이 1Password를 살 필요가 없다.

Android Credential Manager + Google Password Manager

Android 14에서 도입되어 Android 15에서 보편화된 Credential Manager는 패스워드, 패스키, 페더레이션 ID(Sign in with Google)를 단일 API로 통합한다. 앱 개발자 입장에서는 자동 채우기와 패스키 인증이 하나의 흐름이 됐다.

Google Password Manager는 그 백엔드 중 기본값이다. 2026년 변화:

- **온디바이스 암호화.** 동기화 패스프레이즈(개별 사용자가 설정)를 사용하면 vault가 단말 안에서만 복호화된다. Google조차 평문 접근이 불가능하다.

- **Cross-OS 동기화.** Chrome을 통해 Windows/macOS/Linux/ChromeOS와 동기화.

- **Passkey:** Android, Chrome, ChromeOS에 1급 지원. 외부 키링(Yubikey)도 PRF 확장 등 표준 흐름 그대로.

- **Family Group 공유.** Google 가족 그룹과 연계해 일부 항목을 가족과 공유 가능.

단점은 (1) Apple만큼 OS 통합이 매끄럽지는 않다는 점(앱마다 자동 채우기 동작이 미세하게 다르다), (2) iOS에서는 Chrome 자동 채우기가 가능하지만 1급 OS 통합은 아니라는 점이다.

Mozilla Firefox Passwords — 브라우저 내장

Firefox Lockwise는 단종됐지만, 그 기능은 Firefox 본체와 Firefox Sync로 흡수됐다. 2026년 기준 "Firefox에 저장된 패스워드"는 Mozilla 계정으로 동기화되며, 일부 항목은 Have I Been Pwned 기반 유출 경고를 보여준다.

| 항목 | 상태 |

|---|---|

| 크로스 디바이스 동기화 | Mozilla 계정 + Firefox Sync |

| 패스키 | Firefox 121부터 일반 지원, 2026년 시점 안정화 |

| 2FA 토큰 | 미지원 (별도 인증 앱 필요) |

| 가족 공유 | 미지원 |

| 자동 채우기 (모바일) | iOS/Android Firefox 앱에서 지원 |

Firefox만 쓰는 사용자가 무료 솔루션을 원할 때의 합리적 선택. 하지만 Chrome/Safari를 병행한다면 동기화의 의미가 약해진다.

2FA 토큰 / 패스키 / Yubikey 통합

2026년 패스워드 매니저의 화두 두 가지는 (1) TOTP 시드를 vault에 저장할 것인가, (2) 패스키를 어디에 저장할 것인가다.

TOTP 시드를 vault에 넣는 것의 트레이드오프

장점은 자동 채우기 흐름이 1단계로 줄어든다는 것이다. 사이트에서 패스워드 칸 + OTP 칸을 매니저가 동시에 채워준다. 단점은 vault가 뚫리면 패스워드와 2FA가 동시에 노출된다는 것이다 — 2FA의 본질인 "분리된 인증 요소"가 사라진다.

타협안:

- 일반 사이트(쇼핑몰, 커뮤니티)는 vault에 TOTP 저장 OK.

- 금융, 메일, 클라우드 콘솔, vault 자체는 별도 인증 앱(Aegis, Raivo, Ente Auth, 1Password 외부 모드, Yubikey) 사용.

- vault 자체의 마스터는 반드시 하드웨어 키(Yubikey, Solokey)로 보호.

패스키의 저장 위치

2026년 시점 주요 선택지:

- **Apple Keychain / Google Password Manager:** OS 동기화 기반. 가장 매끄럽지만 OS 락인.

- **1Password / Bitwarden / Proton Pass:** Cross-OS 동기화 가능. WebAuthn PRF 확장 일반 지원.

- **Yubikey, Solokey, Nitrokey:** 디바이스 바운드 비동기 패스키. 분실 시 백업 키 필수.

기업 환경에서는 "vault에 동기화되는 패스키"와 "디바이스 바운드 패스키"를 정책으로 구분해 운영하는 사례가 늘었다. Admin 계정·HSM 접근은 디바이스 바운드, 일반 SaaS는 vault sync로.

Yubikey/Solokey와 vault의 관계

Yubikey 5 시리즈, Yubikey Bio, Yubikey 5C NFC 등은 2026년 기준 거의 모든 매니저에서 2FA로 작동한다. 핵심은 "vault 잠금 해제용 키"와 "사이트 로그인용 키"를 분리해 두 개 이상 보유하는 것. 키 분실은 한 번에 끝나는 사고가 아니라, 백업 키가 있어야 복구가 가능한 사고로 봐야 한다.

기업용 vault — BeyondTrust / CyberArk / Delinea / Akeyless

개인용 매니저와 별개로, 기업 환경에서는 "사람용 패스워드"와 "기계용 secret/credential"을 PAM(Privileged Access Management) 시스템으로 따로 관리한다. 2026년 주요 솔루션은 다음과 같다.

- **CyberArk:** PAM 시장의 사실상 표준. Vault, PSM(세션 매니저), CPM(자동 회전), AAM(앱 to 앱), Conjur(클라우드 네이티브 secret) 등으로 모듈화. 금융/공공에서 압도적.

- **BeyondTrust:** Password Safe(전통 vault), Privilege Management(끝단 권한 상승 제어), Remote Support까지 통합. Bomgar 인수 이후 원격 지원 워크플로가 강점.

- **Delinea(구 Thycotic + Centrify):** Secret Server가 핵심 vault. CyberArk보다 가볍고 도입이 빠르다. 중견 기업에서 인기.

- **Akeyless:** 클라우드 네이티브 vaultless 아키텍처. DFC(Distributed Fragments Cryptography)로 키를 여러 단편으로 분산 저장. SaaS 우선 환경에 적합.

이 시스템은 1Password/Bitwarden과 같은 도구가 아니다. 사용자가 직접 패스워드를 외우거나 입력하는 일이 거의 없고, 시스템이 일시 권한을 발급·세션 녹화·자동 회전을 담당한다. 개발자 입장에서는 GitHub Actions, Jenkins, Kubernetes에서 OIDC trust로 short-lived 토큰을 받아오는 흐름이 표준이 됐다. 정적 secret을 vault에 넣어두는 시대는 빠르게 끝나가고 있다.

E2EE 아키텍처의 차이 — Bitwarden vs 1Password vs Proton

세 서비스 모두 "엔드 투 엔드 암호화"를 표방하지만 구현은 다르다.

Bitwarden

마스터 패스워드 → PBKDF2-SHA256(또는 Argon2id) → 마스터 키 → 마스터 키로 vault 대칭 키를 풀어 vault 복호화. 서버는 vault 대칭 키 자체를 모른다. 신규 가입자는 Argon2id 기본(메모리 64MB, 반복 3, 병렬도 4). KDF 파라미터 사용자가 조정 가능.

1Password

마스터 패스워드 + Secret Key(랜덤 128bit, 클라이언트 발급) → SRP-6a 인증 → 2-key derivation. 서버는 마스터 패스워드 해시만 가지고는 vault를 복호화할 수 없다. 디바이스 등록 시 Secret Key를 함께 입력해야 한다. 이 때문에 1Password는 Emergency Kit(PDF로 출력 권장)을 강하게 권장한다.

Proton Pass

Proton 전체 생태계와 동일한 PGP 기반 키 구조 + ECC. 사용자 비밀번호 → derive해서 PGP private key를 푼다. PGP key가 vault item별 키를 풀고, vault item이 실제 데이터를 푸는 3중 구조.

세 가지 모두 "서버 침해 시 vault가 평문으로 노출되지 않는다"를 보장한다. 차이는 (1) 디바이스 등록 절차의 마찰(1Password가 가장 까다롭다 = 가장 보수적), (2) 복구 절차의 다양성(1Password는 가족 복구 키, Bitwarden은 Emergency Access, Proton은 복구 코드 + 휴대폰), (3) 메타데이터 보호 범위(2026년 기준 셋 다 메타데이터를 암호화하는 방향으로 강화됨)다.

한국 / 일본 — 네이버 시작 패스워드, 카카오 키, 1Password JP

한국

- **네이버 시작 패스워드:** 네이버 계정 기반 패스워드 매니저. 네이버 앱·웨일 브라우저 통합. 무료. 단점은 cross-platform 약함, 데스크톱 macOS 지원이 약함.

- **카카오 키(Kakao Key):** 카카오톡 인증 기반의 패스키/2FA 토큰 관리. 일반 vault라기보다 카카오 생태계 내 인증 허브에 가깝다.

- **공동인증서(구 공인인증서):** 2020년 폐지 이후에도 잔존. 주요 은행은 자체 인증서·간편인증으로 대체했지만, 일부 정부 사이트는 여전히 공동인증서 요구. 매니저로 관리할 수 있는 영역이 아니다.

- **간편인증 7종(KB, PASS, 카카오, 네이버, 토스, 페이코, 신한):** 사실상 한국식 패스키. 단, 글로벌 표준 패스키와는 분리된 생태계라 1Password/Bitwarden과의 직접 통합은 없다.

실용적 권고: 글로벌 SaaS는 1Password 또는 Bitwarden, 한국 금융·공공은 간편인증/공동인증서. 두 생태계가 섞이지 않는다는 점을 받아들여야 한다.

일본

- **1Password JP:** 1Password가 일본에서 가장 인기 있는 유료 매니저. 일본어 UX, 엔화 결제, 일본 법인 청구서 지원.

- **Trend Micro 패스워드매니저(Trend Micro Password Manager):** Trend Micro 안티바이러스 번들 사용자 중심. 단독 사용자에게는 권하지 않지만, 회사 단위로 Trend Micro 라이선스를 가진 곳에서는 같이 쓰는 경우가 많다.

- **NEC, 후지쯔(Fujitsu) 등 SI 통합 솔루션:** 대기업 SI 환경에서 Active Directory + 자체 vault + 카드 인증 조합으로 운영. CyberArk 같은 글로벌 PAM과 병행되기도 한다.

- **카드 인증 + IC 카드 + One-Time Password 카드:** 일본 금융권 특유의 OTP 카드와 IC 카드 인증은 패스워드 매니저로 관리되지 않는다.

일본은 한국보다 글로벌 매니저 친화적이지만, 대기업 환경에서 SI/벤더 종속이 강한 편이다. 개인 사용자 시장은 1Password JP가 사실상 1위, Bitwarden이 빠르게 따라잡는 구도다.

누가 무엇을 골라야 하나 — 개인 / 가족 / 비즈니스 / 보안 강박

마지막으로, 4가지 페르소나별 권고를 정리한다.

1) 개인 (1인) — 무료 우선

- 풀 애플 사용자: iOS Passwords + iCloud Keychain. 가장 매끄럽고 비용 0.

- 풀 안드로이드/크롬 사용자: Google Password Manager + Credential Manager. 비용 0.

- 크로스 플랫폼 + 오픈소스: Proton Pass 무료 또는 Bitwarden 무료.

- 로컬 only + 망 분리: KeePassXC + Syncthing 또는 USB.

2) 가족 (3–6명)

- 풀 애플: iOS Passwords 공유 그룹.

- 혼성: 1Password Families ($6.99/month/6명). UX·복구·가족 공유가 가장 매끄럽다.

- 비용 우선: Bitwarden Families ($40/year/6명).

- 프라이버시 우선: Proton Unlimited 가족 플랜.

3) 비즈니스 (스타트업 ~ 중견)

- 표준: 1Password Business 또는 Bitwarden Teams/Enterprise.

- 오픈소스 자가 호스팅: Vaultwarden + SSO(Authentik/Keycloak).

- DevOps secret 분리: HashiCorp Vault, Doppler, Infisical, Bitwarden Secrets Manager.

- PAM 필요: CyberArk, BeyondTrust, Delinea, Akeyless 중 규제·규모로 선택.

4) 보안 강박 (위협 모델 강한 개인 — 저널리스트, 활동가, 시니어 엔지니어)

- KeePassXC + Yubikey 5 (2개 이상) + Syncthing.

- 별도 인증 앱(Aegis, Ente Auth).

- vault는 USB로만 이동, 클라우드에 두지 않음.

- 마스터는 24자 이상 디스월드 단어 + 외우는 sentinel.

- 패스키는 디바이스 바운드 우선(Yubikey 본체).

권고의 핵심은 "한 솔루션이 모두에게 옳지 않다"는 점이다. 자신의 위협 모델, 가족 구성, 기기 조합, 직무 환경을 먼저 정의하고 그 위에서 매니저를 골라야 한다. 그리고 무엇보다 — 마스터 패스워드는 길고, 백업 키트는 종이로 출력해 안전한 곳에 보관하고, 패스키 백업 키를 두 개 이상 보유하라. 매니저를 잘못 고르는 것보다 복구 절차를 망각하는 것이 훨씬 큰 사고를 만든다.

참고 / References

- NIST SP 800-63B-4 Digital Identity Guidelines (2024-2025): https://pages.nist.gov/800-63-4/sp800-63b.html

- LastPass Security Incident Update (Karim Toubba, 2022-12-22): https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

- 1Password Security Design (white paper): https://1passwordstatic.com/files/security/1password-white-paper.pdf

- 1Password Watchtower: https://support.1password.com/watchtower/

- Bitwarden Security Whitepaper: https://bitwarden.com/help/bitwarden-security-white-paper/

- Bitwarden Argon2id default: https://bitwarden.com/help/kdf-algorithms/

- Vaultwarden(unofficial Bitwarden server in Rust): https://github.com/dani-garcia/vaultwarden

- Proton Pass security model: https://proton.me/blog/pass-security-model

- Proton Pass open-source: https://github.com/protonpass

- Dashlane Security Whitepaper: https://www.dashlane.com/security/whitepaper

- NordPass XChaCha20 description: https://nordpass.com/features/xchacha20-encryption/

- Enpass: https://www.enpass.io/

- RoboForm: https://www.roboform.com/

- KeePassXC: https://keepassxc.org/

- KeePassXC Yubikey: https://keepassxc.org/docs/KeePassXC_UserGuide#_yubikey_challenge_response

- Apple Passwords app (iOS 18): https://support.apple.com/guide/passwords/welcome/web

- Apple Platform Security Guide(Keychain 섹션): https://support.apple.com/guide/security/welcome/web

- Android Credential Manager: https://developer.android.com/training/sign-in/credential-manager

- Google Password Manager on-device encryption: https://support.google.com/accounts/answer/11350823

- Mozilla Firefox passwords/passkeys: https://support.mozilla.org/en-US/kb/use-passkeys-sign-in-firefox

- W3C WebAuthn Level 3 (Passkey 표준): https://www.w3.org/TR/webauthn-3/

- FIDO Alliance Passkey 자료: https://fidoalliance.org/passkeys/

- Yubico Yubikey 5 시리즈: https://www.yubico.com/products/yubikey-5-overview/

- CyberArk: https://www.cyberark.com/

- BeyondTrust Password Safe: https://www.beyondtrust.com/password-safe

- Delinea Secret Server: https://delinea.com/products/secret-server

- Akeyless: https://www.akeyless.io/

- HashiCorp Vault: https://www.vaultproject.io/

- Have I Been Pwned API: https://haveibeenpwned.com/API/v3

- 네이버 시작 패스워드(웨일 브라우저 통합): https://whale.naver.com/

- 카카오 인증/카카오 키: https://accounts.kakao.com/

- Trend Micro パスワードマネージャー(JP): https://www.trendmicro.com/ja_jp/forHome/products/password-manager.html