비밀번호 관리자, 왜 써야 하나? Bitwarden vs 1Password vs KeePass 현실 비교

지금 네이버, 쿠팡, 은행 앱, 넷플릭스, 그리고 — 솔직히 말하면 — 야동 사이트까지 전부 같은 비밀번호를 쓰고 있다면, 이 글을 끝까지 읽어야 한다.

“나는 해킹당할 만큼 중요한 사람이 아닌데?”라고 생각할 수 있다. 맞는 말이다. 해커는 당신을 노리는 게 아니다. 당신의 비밀번호를 재활용하는 거다.

같은 비밀번호를 여러 사이트에 쓰면 실제로 무슨 일이 벌어지나

크리덴셜 스터핑(credential stuffing)이라는 공격이 있다. 이름은 어렵지만 원리는 단순하다.

어딘가에서 유출된 이메일+비밀번호 조합을 가져와서, 다른 사이트에 자동으로 로그인을 시도하는 거다. 2025년에만 약 20억 개의 이메일과 13억 개의 비밀번호가 한꺼번에 유출된 사건이 있었다. Verizon의 2025 DBIR 보고서에 따르면, 전체 침해 사고의 22%가 유출된 자격증명으로 시작됐다.

성공률은 0.12%다. 낮아 보이지만, 공격자가 1억 건의 조합을 돌리면 10만200만 개의 계정이 뚫린다는 뜻이다.

시나리오를 하나 그려보겠다.

보안이 허술한 성인 사이트에서 이메일과 비밀번호가 유출된다. 공격자는 그 조합을 네이버, 쿠팡, 카카오, 은행 앱에 전부 넣어본다. 비밀번호가 같으면 — 끝이다. 쿠팡에 저장된 카드로 기프트카드를 사고, 네이버 메일로 비밀번호 재설정 링크를 받아 다른 서비스까지 연쇄로 접수한다.

비밀번호 재사용률이 약 94%라는 통계가 있다. 거의 모든 사람이 같은 비밀번호를 돌려쓰고 있다는 뜻이다. 공격자 입장에서는 너무 쉬운 게임이다.

비밀번호 관리자가 이 문제를 어떻게 해결하나

비밀번호 관리자는 두 가지를 해결한다.

첫째, 사이트마다 다른 비밀번호를 생성한다. k7$mQ!9pLx@2vNcR 같은 무작위 문자열을 사이트별로 만들어주기 때문에, 한 곳이 뚫려도 다른 사이트는 무관하다.

둘째, 기억할 필요가 없다. 마스터 비밀번호 하나만 외우면, 나머지는 관리자가 자동으로 입력한다.

“그러면 마스터 비밀번호가 뚫리면 전부 끝 아니냐?”

맞다. 그래서 마스터 비밀번호는 길어야 한다. 나의첫차는2019년빨간아반떼 같은 문장형(패스프레이즈)이 이상적이다. 16자 이상, 본인만 아는 문맥이면 충분하다.

Bitwarden, 1Password, KeePass — 뭐가 다른가

Bitwarden과 1Password는 AES-256 암호화 + 제로 널리지(zero-knowledge — 서비스 운영자도 당신의 비밀번호를 볼 수 없는 구조) 구조다. KeePass는 AES-256 암호화를 사용하되, 아예 서버가 없는 로컬 전용이라 제로 널리지라는 개념 자체가 적용되지 않는다. 보안의 기본 수준은 동급이다.

차이는 가격, 편의성, 데이터 저장 방식에 있다.

Bitwarden — 무료로 거의 다 된다

• 가격: 무료 / Premium 연 $20 (약 26,000원, 2026년 기준)
• 저장: 클라우드 (Bitwarden 서버) + 로컬 암호화
• 플랫폼: Windows, macOS, Linux, iOS, Android, 거의 모든 브라우저
• 오픈소스: 코드 전체 공개. Cure53, ETH Zurich 등 외부 보안 감사를 매년 받음
• 무료 플랜 포함 기능: 무제한 비밀번호, 무제한 기기, 패스키 관리, 2FA(앱/이메일), 유출 확인

무료 플랜에서 빠지는 건 내장 TOTP 인증기, 1GB 첨부파일 저장, 긴급 접근 같은 고급 기능이다. 하드웨어 보안키(FIDO2) 2FA는 무료에도 포함된다. 일상적인 비밀번호 관리에는 무료로 부족함이 없다.

1Password — UI가 깔끔하고, 돈이 든다

• 가격: 개인 월 $3.99 (연간 결제 시, 약 연 $48 / 62,000원). 무료 플랜 없음, 14일 트라이얼만 제공
• 저장: 클라우드 (1Password 서버) + 로컬 암호화
• 플랫폼: Windows, macOS, Linux, iOS, Android, 주요 브라우저
• 오픈소스 아님: 코드 비공개. 자체 보안 감사 공개
• 고유 기능: Travel Mode(국경 통과 시 특정 볼트 숨기기), Watchtower(유출/취약 비밀번호 대시보드)

UI/UX는 세 제품 중 가장 낫다는 평이 많다. 하지만 오픈소스가 아니기 때문에, 코드를 직접 검증할 수 없다는 점이 보안 의식이 높은 사용자에게는 걸린다.

KeePass — 완전 오프라인, 완전 수동

• 가격: 무료 (오픈소스)
• 저장: 로컬만. 클라우드 동기화 없음 (직접 설정 필요)
• 플랫폼: 공식은 Windows만. macOS/Linux/모바일은 서드파티 앱(KeePassXC, KeePassDX 등)
• 오픈소스: 코드 전체 공개
• 특징: 데이터가 내 기기 밖으로 나가지 않음

KeePass는 비밀번호 파일(.kdbx)이 내 컴퓨터에만 존재한다. 클라우드에 아무것도 올라가지 않기 때문에 프라이버시 면에서는 가장 강력하다.

대신 불편하다. 핸드폰과 PC에서 동시에 쓰려면 Google Drive나 Syncthing 같은 걸로 직접 동기화를 잡아야 한다. 자동 입력도 설정이 필요하다. “설치하면 바로 되는” 제품이 아니다.

누구한테 뭐가 맞나 — 위험도별 분류

일반 사용자 — Bitwarden 무료면 충분하다

네이버, 쿠팡, 넷플릭스, SNS 같은 일상 서비스를 쓰는 수준이라면 Bitwarden 무료 플랜으로 충분하다. 사이트마다 다른 비밀번호를 쓰는 것만으로도 크리덴셜 스터핑의 위협은 사라진다.

돈을 쓸 이유가 없다.

민감한 상황 — Bitwarden Premium이나 1Password

금융 계좌가 여러 개이거나, 회사 기밀을 다루거나, 가족과 비밀번호를 공유해야 한다면 유료 플랜의 추가 기능이 도움이 된다. 하드웨어 보안키(YubiKey 등) 2FA, 긴급 접근 설정, 가족 공유 볼트 같은 기능이다.

Bitwarden Premium(연 $20)과 1Password(연 $48)의 보안 수준 차이는 없다. UI 편의성과 가격의 차이다.

OPSEC이 필요한 상황 — KeePass

내부고발, 기자 취재원 보호, 활동가 등 데이터가 클라우드에 존재하는 것 자체가 위험한 경우. KeePass + 로컬 저장 + 수동 동기화가 맞다.

일반인이 KeePass를 쓸 필요는 없다. 불편함을 감수할 이유가 있는 사람을 위한 도구다.

지금 당장 Bitwarden 설치하고 비밀번호 옮기는 법

대부분의 사람에게 현실적인 첫 단계는 Bitwarden이다. 3단계면 끝난다.

1단계 — 설치하고 계정 만들기

bitwarden.com에서 계정을 만든다. 마스터 비밀번호는 16자 이상 문장형으로 설정한다. 그 다음 쓰는 브라우저(Chrome, Firefox, Edge 등)에 Bitwarden 확장 프로그램을 설치한다.

2단계 — 기존 비밀번호 가져오기

Chrome을 쓰고 있다면: Chrome 설정 → 비밀번호 관리자 → 비밀번호 내보내기(CSV). Bitwarden 웹 볼트 → 도구 → 데이터 가져오기 → Chrome CSV 선택 → 업로드. 1분이면 끝난다.

3단계 — 중복 비밀번호 바꾸기

Bitwarden 볼트에서 “재사용된 비밀번호” 보고서를 확인한다(웹 볼트 → 보고서). 같은 비밀번호를 쓰는 사이트가 나온다. 은행, 이메일, 쇼핑몰 순으로 비밀번호를 바꾸면서 Bitwarden이 생성한 무작위 비밀번호로 교체한다.

전부 한번에 바꿀 필요 없다. 금융 > 이메일 > 쇼핑 > 나머지 순서로, 일주일에 걸쳐서 해도 된다.

결론

비밀번호를 돌려쓰는 건 현관문 열쇠를 복사해서 사무실, 차, 금고에 전부 같은 열쇠를 쓰는 것과 같다. 하나 잃어버리면 전부 열린다.

비밀번호 관리자는 이 문제를 없애는 도구다. Bitwarden 무료 플랜은 제로 널리지 암호화에 무제한 비밀번호, 무제한 기기를 지원하고, 오픈소스에 매년 외부 감사를 받는다. 돈을 한 푼도 안 쓰고도 비밀번호 재사용 문제를 해결할 수 있다.

설치하는 데 5분, 기존 비밀번호 가져오는 데 1분. 그 6분이 크리덴셜 스터핑으로 쿠팡 카드가 긁히는 것보다는 나은 투자다.