비밀번호 관리자 보안 감사 읽는 법: Cure53, ISE, SOC 2 각각이 실제로 다루는 것
감사 유형에 따라 점검하는 대상이 다릅니다. Cure53은 암호 구현을 다루고, SOC 2는 조직적 통제를 다룹니다. 이것이 각 주요 비밀번호 관리자가 실제로 공개한 내용입니다.
중요한 세 가지 감사 유형
(1) 암호 / 침투 감사 — 보안 회사(Cure53, ISE, NCC Group, Praetorian)가 암호 구현, 서버 접근 제어, 클라이언트 앱을 검사하고 심각도 등급과 함께 발견 사항을 보고합니다. 감사인 이름, 날짜, 범위를 명시한 완전한 보고서가 공개될 때 그 감사는 유용합니다. (2) SOC 2 Type II — 보안, 가용성, 처리 무결성, 기밀성, 개인정보를 운영 수준에서 6개월 이상의 관찰 기간에 걸쳐 다루는 조직적 통제 감사입니다. (3) ISO 27001 — 정보 보안 관리 시스템의 인증입니다. Type 1 ≠ Type 2이며, 범위가 배지보다 더 중요합니다.
각 관리자가 공개한 것
Bitwarden: 연례 제3자 감사(Cure53, ISE, Insight Risk Consulting). 보고서는 bitwarden.com/help/is-bitwarden-audited에서 링크됩니다. 1Password: SOC 2 Type II + ISE 침투 테스트. 보안 감사 이력은 1password.com/security-audit에 있습니다. Proton Pass: 출시 시 완전한 Cure53 보안 감사(2023년, 치명적 발견 없음, 중간 등급 발견은 출시 전 시정) proton.me/blog/pass-launch 기준. NordPass: 2020년 2월 Cure53 화이트박스 감사, 2021년 NordPass Business에 대한 두 번째 Cure53 감사, SOC 2 Type 2, ISO 27001 인증 nordpass.com/features/security 기준. KeePassXC: 커뮤니티가 감사한 오픈 소스 — 의뢰된 제3자 감사는 없지만 소스는 GitHub에 공개되어 있습니다.
감사 마케팅의 위험 신호
(1) 보안 회사 이름을 공개하지 않고 회계 법인이 수행한 감사. (2) 어떤 구성 요소인지 명시하지 않고 '애플리케이션'에 국한된 감사 범위. (3) 아키텍처가 변경된 제품에 대한, 24개월보다 오래된 감사. (4) 완전한 보고서가 아닌 요약 서한. (5) 암호 구현을 크게 변경한 메이저 버전 출시 전에 수행된 감사. 이 비교의 다섯 관리자 중 어느 것도 이러한 패턴에 해당하지 않습니다. 반면 LastPass의 침해 후 커뮤니케이션(이 비교에서 제외됨)은 그중 여럿을 보였습니다.
감사가 다루지 않는 것
감사는 보안 회사가 특정 시점에 점검한 내용을 기록합니다. 공급망 공격(클라이언트 빌드에 침해된 npm 의존성), 공급업체의 내부자 위험, 감사 기간 이후에 발견된 새로운 취약점은 다루지 않습니다. 그에 대한 방어는 오픈 소스 클라이언트(연구자가 각 릴리스를 독립적으로 검증할 수 있음 — Bitwarden, Proton Pass, KeePassXC), 버그 바운티 프로그램(1Password는 Bugcrowd 운영, Bitwarden은 HackerOne 운영), 그리고 1Password Secret Key(추가로 로컬에 저장되는 비밀로, 서버 침해만으로는 볼트를 복호화할 수 없음을 의미함) 같은 아키텍처적 선택입니다.
출처
Bitwarden 감사: bitwarden.com/help/is-bitwarden-audited. 1Password 보안 감사: 1password.com/security-audit. Proton Pass Cure53 감사: proton.me/blog/pass-launch. NordPass 보안: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. 모든 URL은 2026-04-30에 접속.