보안 가이드

비밀번호를 Google Drive에 저장하면 안전한가? 제대로 보관하는 법

비밀번호를 Google Drive 문서나 스프레드시트에 두고 있나요? 평문 목록이 위험한 이유 — Google 계정 하나가 모든 비밀번호의 단일 실패 지점이 됩니다 — 암호화된 금고와의 차이, 그리고 비밀번호 관리자가 답인 이유.

게시 2026-06-11 업데이트 2026-06-11 5분 읽기

대상: 관리자 패널·계정 비밀번호를 Google Drive 문서나 스프레드시트에 두고 "이게 안전할까?" 궁금한 모든 사람. 정직한 답을 드립니다. 공격 절차는 없습니다 — 오직 안전하게 보관하는 법뿐입니다.

본 사이트의 견해: 문제는 'Drive를 쓰는 것'이 아니라 '평문'이다

흔한 오해는 "클라우드에 두는 게 나쁘다"입니다. 그렇지 않습니다. 진짜 문제는 평문으로, 목록 형태로 두는 것입니다. 암호화된 비밀번호 금고(예: KeePass .kdbx)를 Drive로 동기화하는 것은 전 세계적으로 정상적이고 안전한 관행입니다 — 그 파일은 마스터 키 없이는 그냥 암호문입니다. 반대로, Google 계정을 아무리 단단히 잠가도, 내용이 평문 표라면 그 계정에 들어온 누구든 전부를 읽습니다. "당신의 키 없이 읽을 수 있는가, 아닌가"로 생각하세요 — 클라우드냐 아니냐가 아니라.

평문 목록이 위험한 이유

"단단한 비밀번호를 가진 Google 계정에 있으니 괜찮겠지"라고 생각하기 쉽습니다. 하지만 평문 목록은 그 자체의 위험을 쌓아 올립니다.

1→전부

계정 하나 함락 = 모든 비밀번호 누출

평문

계정에 들어온 누구든 즉시 읽음

연결 앱

Drive 접근 권한의 제3자가 봄

수동 붙여넣기

닮은 사이트에 손으로 붙여넣게 됨

구체적으로, 다음 중 어느 하나라도 목록 전체를 누출시킵니다.

Google 계정 탈취

피싱이나 세션 탈취로 누군가 계정에 들어오면, Drive의 평문 파일이 통째로 읽힙니다. 베이스라인 체크리스트의 "왕국의 열쇠"가 모든 비밀번호의 열쇠가 됩니다.

악성 연결 앱 허용

"Drive 접근"을 허용한 제3자 앱이 그 평문 파일을 읽을 수 있습니다. 편의 기능이 당신의 시크릿을 들여다보는 창이 됩니다.

수동 복사-붙여넣기를 통한 피싱

표에서 비밀번호를 손으로 복사한다는 것은 모르는 새 가짜 사이트에 붙여넣을 수 있다는 뜻입니다. 사람은 닮은 도메인을 안정적으로 구별하지 못합니다.

기기·공유 링크 확산

동기화하는 기기가 많을수록, 만드는 공유 링크가 많을수록, 평문의 도달 범위가 넓어집니다.

그리고 Google Drive 자체의 암호화는 "Google이 읽을 수 있는" 종류이지 시크릿급이 아닙니다. 시크릿은 어떤 호스트에 넘기기 전에 당신의 키 없이는 읽을 수 없게 만드세요 — 그것이 시크릿을 다루는 규칙입니다(.env 파일과 시크릿과 같은 발상).

위험에서 안전까지의 척도

"Drive에 저장"이라도 안에 무엇이 들었느냐에 따라 천차만별입니다.

✗ 평문 표

문서/스프레드시트에 그대로 입력

△ 암호화 zip

비밀번호 보호 압축; 마찰이 죽임

○ 암호화된 금고

Drive로 동기화하는 KeePass .kdbx

◎ 비밀번호 관리자

Bitwarden/1Password; 자동 입력 + 모니터링

왼쪽 = 위험, 오른쪽 = 안전. 분기점: 당신의 키 없이 읽을 수 있는가, 아닌가.

제대로 보관하는 법

최선의 답은 전용 비밀번호 관리자로 옮기는 것입니다. 다음 단계가 평문 목록에서 졸업시켜 줍니다.

전용 비밀번호 관리자를 쓴다

Bitwarden / 1Password / KeePass. 동기화해도 내용은 암호화된 채 유지되며(제공자는 읽지 못함), 강력한 생성, 피싱 방지 자동 입력(가짜 도메인엔 입력 안 함), 침해 모니터링이 함께 옵니다.

마스터 비밀번호를 길고 유일하게

관리자를 여는 키만 강하고 절대 재사용하지 않으면 됩니다. 비밀번호 강도 검사기로 가늠하세요.

관리자와 Google 계정에 피싱 저항 MFA

관리자 자체와 이메일/Google 계정에 패스키/하드웨어 키를 설정하세요(→ 베이스라인 체크리스트의 Tier 0). 잠금을 이중화해 단일 실패 지점을 죽이세요.

이전했으면 평문 목록을 완전히 삭제한다

관리자로 옮긴 뒤 Drive의 평문 파일을 삭제하세요 — 휴지통, 버전 기록, 다운로드된 사본까지. 잔여물이 의미를 무너뜨립니다.

가능한 곳은 패스키로 이동한다

비밀번호 자체를 줄이세요. 지원되는 서비스에선 패스키(기기의 생체 인식 등)가 훔칠 "문자열"이 남지 않게 합니다.

Google Docs의 평문 목록

계정 하나 함락으로 전부 누출
손으로 가짜 사이트에 붙여넣을 수 있음(피싱 방어 없음)
침해 탐지, 자동 입력, 버전 관리 없음
연결 앱 접근이 내용을 읽을 수 있음

전용 비밀번호 관리자

동기화 시 내용이 암호화됨(제공자는 읽지 못함)
가짜 도메인엔 자동 입력 안 함 = 피싱 저항
내장된 강력한 생성, 침해 모니터링, 이력
마스터 키 + MFA로 보호

그래도 Drive를 쓰고 싶다면

최소 두 가지 조건. 1) 암호화된 금고 파일(.kdbx 등)만 저장 — 평문 문서/스프레드시트는 절대 금지. 2) Google 계정에 피싱 저항 MFA를 걸기. 둘 다 갖추면 Drive는 단순한 "암호문 동기화 장소"가 되고, 위험이 급격히 떨어집니다.

본 사이트는 직접 어떻게 하는가

본 사이트는 시크릿 — 비밀번호, 키, 접속 문자열 — 을 공유 문서에서도, 코드 저장소에서도, 인수인계 노트에서도, 절대 평문으로 두지 않습니다(→ 시크릿을 git 밖에 두기). 일상 로그인은 비밀번호 관리자에 두고, 중요 계정은 피싱 저항 MFA로 이중화합니다. 이유는 단순합니다: "한 곳이 함락되면 전부가 함락되는" 상태를 절대 만들지 않는 것. 평문 목록은 바로 그 "전부를 위한 한 곳"을 만드는 전형적 방법이라, 우리는 피합니다.

다음으로 읽기

작동 원리: 비밀번호를 안전하게 저장하는 법(해싱 + 솔트) ── 자기 측 보관 다음, 서비스는 어떻게 저장해야 하는가
용어집: 해싱이란 무엇인가 / 솔트란 무엇인가
토대: 보안 베이스라인 체크리스트(왕국의 열쇠, 시크릿 보호)
용어집: .env 파일과 시크릿
자체 호스팅: 시크릿을 git 밖에 두기 / 자체 호스팅 Git vs GitHub
도구: 비밀번호 강도 검사기

FAQ

QGoogle Drive에 비밀번호를 저장해도 안전한가요?

평문 문서나 스프레드시트라면 위험합니다. Google 계정 하나가 모든 비밀번호의 단일 실패 지점이 됩니다 — 계정 탈취, 악성 연결 앱, 피싱이 한꺼번에 누출시킵니다. 다만 암호화된 금고 파일(예: KeePass .kdbx)만 Drive에 두는 것은 괜찮습니다 — 그 파일은 마스터 키 없이는 쓸모가 없습니다.

Q그럼 실제로 어디에 저장해야 하나요?

전용 비밀번호 관리자(Bitwarden / 1Password / KeePass)에. 기기 간 동기화해도 내용은 암호화된 채 유지되고(제공자는 읽지 못함), 강력한 생성, 피싱 방지 자동 입력(닮은 사이트엔 입력 안 함), 침해 모니터링이 함께 옵니다 — 스프레드시트엔 어느 것도 없습니다.

QGoogle Drive는 어차피 암호화되어 있지 않나요?

Google은 저장 시·전송 시 암호화하지만, 그것은 'Google이 읽을 수 있는' 암호화이지 시크릿급이 아닙니다. 당신의 Google 계정에 들어온 누구든, 혹은 Drive 접근을 허용한 어떤 연결 앱이든 내용을 볼 수 있습니다. 시크릿은 어떤 호스트에 넘기기 전에 당신의 키 없이는 읽을 수 없어야 합니다.