← 개발일지

Bitwarden 사용법 완전 가이드 — 설정부터 고급 기능까지

bitwardenpassword-managersecurity2fapasskeyopen-sourcetotp

왜 비밀번호 관리자가 필요한가

대부분의 사람은 수십 개의 온라인 계정을 가지고 있다. 그리고 상당수가 같은 비밀번호를 여러 사이트에 재사용한다. 어느 한 곳에서 데이터 유출이 발생하면, 같은 비밀번호를 쓰는 모든 계정이 위험해진다. 비밀번호 관리자는 이 문제를 근본적으로 해결한다. 사이트마다 강력하고 고유한 비밀번호를 생성하고, 하나의 master password만 기억하면 나머지는 전부 암호화된 vault에서 관리하는 방식이다.

이 글에서는 오픈소스 비밀번호 관리자인 Bitwarden의 사용법을 초기 설정부터 고급 기능까지 상세하게 다룬다.

Bitwarden이란

Bitwarden은 오픈소스 기반의 비밀번호 관리자다. 소스 코드가 GitHub에 전체 공개되어 있고, 정기적으로 서드파티 보안 감사를 받는다. AES-256 암호화와 zero-knowledge 아키텍처를 사용하기 때문에, Bitwarden 직원조차 사용자의 vault 데이터를 볼 수 없다.

무료 플랜에서도 무제한 비밀번호 저장과 무제한 디바이스 동기화를 지원하며, Premium 플랜은 월 $1.65(연 $19.80)로 TOTP 내장 인증, vault 건강 보고서, emergency access 등 고급 기능을 제공한다.

요금제 비교

Bitwarden은 개인용과 비즈니스용으로 나뉜다.

개인용 플랜:

Free 플랜은 무제한 항목과 디바이스를 지원하고, passkey 관리, 기본 2FA, 1인 공유 기능이 포함된다. Premium은 연 $19.80으로 TOTP 인증기, vault health report, emergency access, 파일 첨부(5GB), phishing blocker 등이 추가된다. Families는 연 $47.88로 최대 6명까지 사용할 수 있으며, 전원이 Premium 기능을 사용할 수 있다.

비즈니스용 플랜:

Teams는 사용자당 월 $4이고, Enterprise는 사용자당 월 $6이다. Enterprise에는 SSO 통합, self-hosting, 정책 관리, 전 직원 Families 플랜 제공이 포함된다.

초기 설정 가이드

1단계: 계정 생성과 master password

bitwarden.com에서 계정을 만든다. 이때 설정하는 master password가 보안의 전부라고 해도 과언이 아니다. Bitwarden은 zero-knowledge 방식이므로, master password를 분실하면 복구할 방법이 없다. 직원이 리셋해줄 수도 없다.

master password를 만들 때는 passphrase 방식을 추천한다. 4~5개의 무작위 단어를 조합하는 방식(예: Maple-Thunder-Bicycle-Ocean)이 짧고 복잡한 문자열(예: P@ssw0rd123!)보다 brute-force 공격에 훨씬 강하면서도 기억하기 쉽다. 개인정보(생일, 이름, 반려동물 이름 등)는 절대 포함하지 말자.

2단계: 2FA 즉시 활성화

계정을 만들었으면 바로 Settings → Security → Two-step login으로 가서 2단계 인증을 활성화한다. 누군가 master password를 알아내더라도, 2FA가 있으면 vault에 접근할 수 없다.

무료 사용자도 authenticator app(Aegis, Authy 등)이나 이메일 인증을 사용할 수 있다. Premium 사용자는 YubiKey, FIDO2 WebAuthn, Duo 같은 하드웨어/고급 인증도 설정 가능하다. 2026년 업데이트로 최대 10개의 security key를 등록할 수 있게 되었다.

3단계: 클라이언트 설치

Bitwarden은 거의 모든 플랫폼을 지원한다.

browser extension이 가장 핵심적인 클라이언트다. 웹사이트 로그인 시 자동으로 credential을 제안하고 채워 넣는다. Chrome, Firefox, Safari, Edge 등 주요 브라우저를 모두 지원한다.

mobile app은 iOS와 Android에서 사용할 수 있으며, 지문이나 Face ID로 vault를 unlock할 수 있다. autofill을 설정하면 앱 로그인에서도 자동 입력이 된다.

desktop app은 Windows, macOS, Linux에서 사용 가능하며, vault 전체를 관리하기에 적합하다. web vault는 브라우저에서 접근하는 관리 인터페이스로, vault health report나 emergency access 같은 관리 기능은 여기서 설정한다.

CLI는 개발자를 위한 command-line 도구로, npm install -g @bitwarden/cli로 설치할 수 있다. 스크립트나 DevOps 자동화에 유용하다.

4단계: 기존 비밀번호 이전

대부분 Chrome이나 기존 password manager에 비밀번호가 저장되어 있을 것이다. CSV로 export한 뒤, Bitwarden에서 import하면 된다. browser extension이나 web vault에서 모두 가능하다.

import이 완료되면 두 가지를 반드시 해야 한다. 첫째, 브라우저의 내장 password manager를 비활성화한다. Bitwarden과 충돌하면서 autofill이 꼬일 수 있다. 둘째, 브라우저에 저장된 기존 비밀번호를 삭제한다. 두 곳에 비밀번호가 남아 있으면 관리가 분산되어 보안 위험이 생긴다.

5단계: Vault 정리

Folders 기능으로 항목을 분류하자. Financial, Work, Social, Shopping, Infrastructure, Entertainment 같은 카테고리를 만들어 놓으면 나중에 수백 개의 항목이 쌓여도 빠르게 찾을 수 있다.

Vault에 저장할 수 있는 것들

Bitwarden vault에는 네 가지 유형의 항목을 저장할 수 있다.

Login은 사이트 로그인 정보로, URL, 사용자명, 비밀번호를 저장한다. TOTP seed도 여기에 연결한다. Card는 신용카드나 체크카드 정보다. Identity는 이름, 주소, 전화번호 같은 개인정보로, 폼 자동 입력에 사용한다. Secure Note는 자유 형식의 메모로, API key나 recovery code를 보관하기에 좋다.

핵심 기능 상세

Autofill

browser extension을 설치하면 로그인 페이지에서 자동으로 credential을 제안한다. inline menu가 기본이고, keyboard shortcut이나 context menu(우클릭)로도 autofill을 실행할 수 있다. 같은 도메인에 여러 계정이 있으면 목록에서 선택하면 된다.

mobile에서는 OS의 autofill framework(iOS AutoFill, Android Autofill Service)을 통해 앱 로그인에서도 자동 입력이 된다. 설정에서 autofill을 활성화해야 한다.

Password Generator

새 계정을 만들 때 직접 비밀번호를 생각해내지 말고, Bitwarden의 generator를 사용하자. 길이, 대소문자, 숫자, 특수문자 조합을 설정할 수 있고, passphrase 모드로 단어 조합을 생성할 수도 있다. username generator도 있어서 랜덤 사용자명이나 email alias를 만들 수 있다.

Bitwarden Send

Bitwarden 계정이 없는 사람에게도 안전하게 정보를 전달하는 기능이다. Text Send는 무료 사용자도 이용 가능하고, File Send는 Premium 이상에서 사용할 수 있다.

Send를 만들 때 삭제 일시, 만료 일시, 최대 접근 횟수, 비밀번호 보호 등을 설정할 수 있다. 만료되면 데이터는 자동 삭제된다. 2026년 3월부터는 특정 이메일 주소로만 접근을 제한하는 email verification 기능도 추가되었다(유료 플랜).

보안 팁: Send 링크와 접근 비밀번호를 다른 채널로 보내자. 예를 들어 링크는 이메일로, 비밀번호는 전화로 알려주는 식이다.

TOTP 내장 인증기 (Premium)

별도의 authenticator app 없이 Bitwarden에서 직접 TOTP 코드를 생성할 수 있다. vault item을 편집하여 Authenticator key 필드에 QR 코드를 스캔하거나 secret key를 수동 입력하면 된다.

autofill할 때 TOTP 코드가 자동으로 clipboard에 복사되므로, 2FA 입력창에 바로 붙여넣기하면 된다. 모든 디바이스에 동기화되고, offline에서도 코드 생성이 가능하다.

한 가지 알아둘 점: TOTP를 Bitwarden에 저장하면 비밀번호와 2FA가 같은 vault에 있게 된다. vault가 탈취되면 2FA도 함께 노출되는 셈이다. 따라서 master password를 매우 강력하게 유지하고, Bitwarden 자체의 2FA를 반드시 활성화해야 한다. 은행이나 주 이메일처럼 가장 중요한 계정은 별도의 authenticator app을 유지하는 것도 좋은 전략이다.

Vault Health Reports (Premium)

web vault의 Reports 메뉴에서 vault의 보안 상태를 점검할 수 있다. 총 6가지 보고서가 있다.

Exposed Passwords는 알려진 데이터 유출에서 발견된 비밀번호를 식별한다. Reused Passwords는 여러 사이트에 동일하게 쓰인 비밀번호를 잡아낸다. Weak Passwords는 brute-force에 취약한 비밀번호를 강도별로 정렬한다. Unsecured Websites는 HTTP를 사용하는 로그인 URI를 찾는다. Inactive 2FA는 2FA를 지원하지만 아직 활성화하지 않은 사이트를 알려준다. Data Breach는 Have I Been Pwned와 연동하여 이메일/사용자명의 유출 여부를 확인한다.

이 보고서들은 client-side에서 실행되므로 Bitwarden 서버에 평문 데이터가 전달되지 않는다. Data Breach report는 무료 사용자도 사용할 수 있다.

2025년 말부터는 Vault Health Alerts 기능이 추가되어, browser extension에서 실시간으로 취약한 비밀번호를 경고하고 즉시 강화 방법을 안내한다.

Emergency Access (Premium)

사고, 질병 등으로 본인이 vault에 접근할 수 없는 상황에 대비하는 기능이다. 신뢰할 수 있는 사람을 emergency contact로 지정하여, 긴급 시 vault에 접근할 수 있도록 한다.

web vault의 Settings → Emergency access에서 설정한다. 접근 권한은 View(열람만)와 Takeover(master password 리셋 후 전체 접근) 두 가지다. 대기 기간(1일~30일)을 설정하면, 그 기간 안에 본인이 요청을 거부할 수 있다. 지정되는 사람은 무료 계정이어도 된다.

Passkey 관리

Bitwarden은 passkey를 vault 항목으로 저장하고 사용할 수 있다. 2026년 현재 CXP(Credential Exchange Protocol)를 최초 서드파티로 지원하여, password manager 간 passkey 이동도 가능해졌다. iPhone에서 만든 passkey를 Windows에서 사용하는 cross-platform sync도 지원한다.

보안 설정 최적화

Vault Timeout 설정

Settings → Security → Vault Timeout에서 vault 잠금 시간을 조정하자. 기본값은 너무 길 수 있다. "On System Idle"이나 15분 정도로 설정하면, 자리를 비울 때 자동으로 잠긴다. lock은 master password나 생체인증으로 빠르게 복귀하고, logout은 전체 재인증이 필요하다는 차이가 있다.

Clipboard 자동 삭제

비밀번호를 복사한 후 clipboard에 무한정 남아 있으면 위험하다. Settings에서 clipboard clear time을 설정하자.

생체인증 Unlock

매번 master password를 입력하기 번거로우면 PIN이나 지문/Face ID로 unlock을 설정할 수 있다. 단, 앱을 완전히 재시작할 때는 master password를 요구하도록 설정하는 것이 안전하다.

반드시 알아둘 유의사항

master password 분실은 곧 데이터 영구 손실이다. Bitwarden은 zero-knowledge이므로 복구가 불가능하다. password hint를 설정하고, recovery code를 별도 보관하자. Bitwarden 공식 사이트에서 Security Readiness Kit(PDF)를 다운로드하여 master password, 2FA 정보, recovery code를 기록하고 금고나 안전한 장소에 보관하는 것을 강력히 권한다.

TOTP seed는 CSV export에 포함되지 않는다. 다른 password manager로 이전하거나 백업할 때, TOTP는 수동으로 재등록해야 한다. 이전 전에 반드시 확인하자.

브라우저 내장 password manager와의 충돌에 주의하자. Bitwarden을 주 password manager로 쓰기로 했으면, Chrome이나 Firefox의 자체 비밀번호 저장 기능은 반드시 비활성화해야 한다.

2026년 요금제 변경 사항을 확인하자. Premium이 연 $10에서 $19.80으로 인상되었고, 무료 플랜에도 일부 변경이 있었다. 기존 구독자에게는 1회 25% 할인이 적용된다.

self-hosting은 편리하지만 책임이 따른다. Vaultwarden 등으로 자체 서버를 운영하면 데이터 주권을 완전히 확보할 수 있지만, 보안 업데이트, 백업, 서버 관리를 모두 본인이 해야 한다.

정리

Bitwarden은 오픈소스 투명성, 합리적인 가격, 강력한 보안을 모두 갖춘 비밀번호 관리자다. 무료 플랜만으로도 일상적인 비밀번호 관리에 충분하고, Premium을 추가하면 TOTP, vault health report, emergency access 같은 고급 기능까지 사용할 수 있다. 처음 설정할 때 master password를 강력하게 만들고, 2FA를 활성화하고, 기존 비밀번호를 체계적으로 이전하는 과정만 잘 거치면, 이후로는 사이트마다 고유하고 강력한 비밀번호를 자동으로 관리할 수 있다.