1Password 에서 VaultWarden(docker) + Candy(https) + BitWarden App 으로 이동

이것도 셋팅한지 3개월 정도 됐는데 이제 정리하네요. 직전 글과 다르게 이건 이제야 안정된 느낌도 있어서.

 

2019년부터 1Password 라는 패스워드 관리 도구를 사용하고 있었습니다. 로그인 계정, 카드번호, 계좌번호 등 여러 정보를 관리해 왔죠.

왜 굳이 여기다? 하실수도 있지만, 계좌나 카드같은 경우 실물이 없으면 카드번호나 유효기간 등 정보를 확인하는데 시간이 걸리거나 번거롭고, 사이트별로 다른 비밀번호는 말할것도 없죠.

제품의 필요성에 대한 부분은 개인 판단에 맡기고, 아무튼 전 이걸 본가 부모님 계정 겸 동생과 같이 쓰느라 '패밀리 플랜'으로 연간결제해 왔습니다.

그리고 지난 2/25, 1Password 가 가격 인상을 통보했습니다. 59.88 달러에서 71.88 달러로.

 

이걸 계기로 '내 서버에서 비밀번호를 안전하게 관리할 수 있는 방법' 을 고민하게 됐고, 제목에 있는 조합으로 이관하게 되었습니다.

순서대로 설명을 해보자면,

 

- VaultWarden : BitWarden Self-Hosted 버전의 API를 역산해 오픈소스로 개발중인 호환 버전(비공식 구현체)

(주: BitWarden Self-Hosted(자가설치형) 버전은 리소스 소비가 많고, 많이 쓰이는 2FA 같은 기능을 월정액 결제해야 합니다, VaultWarden 은 기본 제공)

- Candy : VaultWarden 호환 웹서버.

VaultWarden 을 제대로 사용하려면 https 연결을 사용해 접속할 수 있어야 하는데, 공식 가이드 문서에 제일 처음 언급되어 처음 사용하게 된 경량 웹서버입니다

- BitWarden App : 서버는 VaultWarden 이지만, 공식 BitWarden API를 역산해서 만들었기 때문에 BitWarden 공식 애플리케이션 이용이 가능합니다.

다만 패스키와 같은 일부 기능은 (VaultWarden 이 BitWarden 이 아니기 때문에) 똑같이 동작하지 못하는 것도 있구요.

 

이번 글에서는 제가 관리중인 서버에 환경을 구축하고, 사용해본 이야기 정리해 봤습니다.

1Password 에서 데이터를 Export 받아서 셋팅, BitWarden App 테스트, VaultWarden 백업설정 포함.

 

아래에는 기기 캡쳐 이미지 9장이 쓰였으니 참고하시고,

 

 

 

-- 목  차 --

누르시면 바로 이동합니다.

 

1. 1Password 의 연간플랜 가격인상

2. VaultWarden Docker + Candy(https) (VPS)

3. 1Password -> VaultWarden 데이터 이관

4. BitWarden App 셋팅 및 테스트

5. VaultWarden 백업

 

 

1. 1Password 의 가격인상

2/25(수), 일어나서 메일을 보니 1Password 가 '패밀리 플랜을 59.88 달러에서 71.88 달러로 인상한다' 는 안내를 보내놨더군요.

한달 뒤인 3/27 부터 적용되고, 그때까지 홈페이지의 결제정보 페이지에서 '금액인상을 승인할지 거절할지 의사를 표시하라' 고.

승인하면 제 결제일인 5월 말에 인상된 가격이 결제될테고, 거절하면 구독이 취소되고 5월 말에 유료 서비스 제공 종료.

 

잠깐 찾아보고 바로 VaultWarden + BitWarden App 조합을 찾아냈고 '빨리 셋팅해보고 판단하자' 생각해 서둘러 셋팅.

 

사실 1Password 가 비싼 값을 했던것도 사실입니다.

패스키 지원은 혼란스런 안드로이드/iOS/Windows 사이에서도 굳건히 존재감을 발했고,

SSH 툴 연계나 OS API 지원(예- 윈도우 지문센서를 사용한 Windows Hello 인증 지원 등) 도 비교적 대응이 빠른 인상이었고.

 

하지만 같이 쓰고있는 동생쪽 계정은 순전히 부모님 계정 관리용이라(동생 메인계정은 구글 크롬에 비밀번호 저장) 어딘가 아쉬움을 느끼고 있었습니다.

어쩌면 좋은 계기였을지도 모르죠.

 

 

그럼 바로 서버에 설치해 봅니다.

 

2. VaultWarden Docker + Candy(https) (VPS)

보통은 시놀로지 NAS 의 Docker 기능으로 셋팅하시려나요.

저도 시놀로지 NAS가 있고 Docker 지원 모델이라 가능은 했는데, 사소한 문제가 있어서 다른 방향으로 진행했습니다.

https 인증서 발급이 필요했는데 집안 네트워크 구성으로 제약이 있었기에.

 

결국 일본에 운영중인 VPS에 셋팅해 사용하기로 결정.

이미 다른 Docker 서비스도 돌리고 있고, 얼마전 도메인도 물려놓아서.

결정적으로 Let's Encrypt (https 인증서 발급도구) 를 사용하려면 80번 포트가 필요한데, 80번 포트를 쓰는 서비스도 없었구요.

 

기본적인 설정은 VaultWarden Git 및 Wiki 페이지와 Docker Hub 설명을 참고했습니다.

다만 서버에서 기존에 쓰던 Docker 관리규칙이 있어 제 규칙에 맞춘 부분은 있네요.

대략 아래와 같이 설정파일을 생성했습니다.

 

 

그리고 이렇게 Docker Compose 설정을 했구요.

 

 

가이드가 잘 되어있어서 우여곡절은 적었다고 생각. 어느 주말의 일요일 오후를 할애했나 그랬습니다.

 

그렇게 메인화면이 뜨는걸 본 뒤, 1Password 에서 데이터를 뽑아서 import 를 시도합니다.

 

3. 1Password -> VaultWarden 데이터 이관

하지만 1Password 에서 Export 한 데이터를 VaultWarden 에 Import 하니 문제가 있었습니다.

다른건 다 그럭저럭 입력되어 들어오는데, 카테고리가 난장판이 나더군요.

 

관찰해보니 1Password 에서 태그 등록해둔 첫번째 항목이 VaultWarden 에서는 카테고리(분류폴더)로 생성되는 것.

저는 1Password 에서 태그기능을 엄청 활발히 썼거든요. 개개 아이디마다 최소 5 ~ 10개의 태그가 지정되어 있었는데.

 

결국 1Password Export 데이터를 풀어서 그 안의 json 파일을 열고, 위 이미지와 같이 tags 하위를 수동으로 정리했습니다.

그나마 notepad++ replace 기능을 사용해서 일손은 덜었다고 하지만, 1,000개가 넘는 아이디와 은행/카드정보를 일일히 수정하는건 좀 힘들었습니다.

 

4시간인가 걸렸네요.

 

덕분에 정리하고 Import 한 데이터는 비교적 정돈된 상태로 생성되었습니다.

이건 최근에 캡쳐한거지만 폴더구조 자체는 초기 Import 이후 바꾼것이 없기에.

 

첫 Import 시도에서는 로그인 계정이 1개만 있는 폴더가 몇백개 있었습니다. 이러면 정리 못하죠 솔직히.

할수는 있는데 꽤 힘든 작업이었으리라 생각합니다.

 

이후에는 동생과 공동으로 사용하기 위해 본가 부모님 계정을 별도 폴더로 분리하고, 동생을 이메일로 초대하여 부모님 계정이 들은 폴더만 접근 가능하게 그룹 지정했습니다.

안그러면 동생쪽에서 제 아이디 정보를 볼 수도 있으니까요. 못믿는건 아니지만 굳이 그런 상황을 만들 필요도 없지.

관리자 페이지로 전환하면 그룹을 생성하고 폴더 접근권한을 할당할 수 있거든요.

 

제 이메일 주소 두개를 등록해서 계정을 바꿔가며 테스트하고 적용한지라 이 부분은 큰 문제없이 반영됐습니다.

 

4. BitWarden App 셋팅 및 테스트

데이터가 정리된 뒤, BitWarden App 도 셋팅해봤습니다.

여기에는 안드로이드/iOS 뿐만 아니라 브라우저 확장이나 윈도우용 프로그램도 해당됩니다.

 

기존 1Password 가 윈도우(OS)에 설치된 프로그램과 브라우저 확장을 연계해서 썼던 반면(두 프로그램 다 필요), BitWarden 은 브라우저 확장만 설치해도 모든 기능을 쓸 수 있게 되어있습니다.

그래서 메인 노트북만 혹시 모를 작업용으로 윈도우용 BitWarden 을 설치했고, 데스크탑과 업무용 노트북에는 BitWarden 브라우저 확장만 설치했네요.

 

등록방법은 간단합니다.

처음 시작할때 대상 서버를 선택할 수 있는데, 여기서 '자체 호스팅' 을 선택하고 제가 vaultwarden 으로 만든 URL을 입력하면 끝.

다음에서 계정과 비밀번호, 이메일 인증번호 확인은 일반적인 사이트 이용하듯 하시면 됩니다.

 

물론 언제든 BitWarden 의 정책이 바뀌어서 막히거나 할 수 있다고 보지만요. 그러면 좀 혼란스러울 듯(..)

 

왼쪽은 인증이 필요할 때, 오른쪽은 1분 이내 로그인하여 추가 인증이 필요없을 때

브라우저 확장도 그렇지만 사실 제일 걱정인게 안드로이드와 iOS의 App 퀄리티였는데.

 

1Password 보다 디자인 디테일이나 세부 기능은 부족하다 느끼지만, 기본적인 기능은 금방 적응했습니다.

아이디, 비밀번호가 위와 같이 OS를 통해 브라우저에서 손쉽게 자동입력을 지원하고, 2FA 의 경우 6자리 인증번호도 자동으로 클립보드로 복사해주는 기능 같은거.

 

iOS의 경우도 불편하지 않게 잘 되어있습니다.

지금 사이트에 등록한 계정이 하나라서 왼쪽 화면에 그게 바로 뜨는데, 두개 이상이면 우측 열쇠 아이콘을 클릭하면 BitWarden 화면이 나오기 전에 iOS에서 여러 계정 중 하나를 선택할 수 있게 해줍니다.

 

오른쪽과 같이 리스트가 팝업되고 계정을 선택하기도 하지만요. 아무튼 최소한 불편하진 않게 되어있다는걸 알게 되서 안도했습니다.

 

이후엔 1Password 데이터 백업받고 난 뒤 사이트에서는 모든 데이터를 지우고, 요금인상을 거절하는 버튼을 눌러 구독을 취소했습니다.

돌아보면 5년이나 썼던데 다음에 또 여기로 가게될 일이 있을지 모르겠네요.

 

만약 BitWarden 정책이 정말 이상하게 바뀐다면, 그래서 선택지가 없어진다면 다시 가겠지만. 음 안 그랬으면(...)

 

5. VaultWarden 백업

물론 4번까지 설정되면 사용에 문제는 없습니다만, 먼저 언급했듯 저는 로그인 계정 약 700개, 이외 카드, 계좌, 여권, 주소 등 총 1,000개 정도의 정보를 등록해 쓰고 있습니다.

실수로 데이터를 날린다면? 서버가 날아가서 이 정보가 전부 사라진다면?

답이 없는거죠. 우선 이걸로 생성한 비밀번호는 Aqkdhd3*NDa107 이런거라 유추도 불가능하고.

 

그래서 이런걸 만들면 '자동화 백업' 방법까지 확인합니다.

공식 위키 페이지[바로가기, Backup] 에 설명이 있더군요.

저처럼 외부 DB 대신 SQLite 라는 기본값의 파일기반 DB를 사용하는 경우, '파일만 잘 백업해두면 된다' 가 기본 전제.

다만 서비스를 Down(stop) 시키지 않으면 파일기반 DB의 일관성이 보장되지 않을 수 있어서(총 3개 파일로 구성됨), 백업 직전에 서비스 Down 필요.

 

이걸 감안해서 자동화 스크립트는 이런식으로 작성했습니다.

 

이와는 별개로 가끔 생각나면 웹 UI export 기능으로 백업파일은 만들어둘 생각이구요.

단지 이건 제가 생각날때만 하는거니 갑작스런 사태는 전혀 대응이 안되죠. 자동화 백업 중요합니다.

물론 '백업된 파일은 설정된 서버 밖으로 옮겨서 보관' 하는것도 중요하죠.

전 여기서 직접 전송은 안하지만 다른 서비스를 통해서 집에 있는 NAS까지 옮기고 있습니다.

 

일단 여기까지 하면 좀 마음놓고 쓰겠죠.

 

 

이번 글은 여기까지.

 

돈내고 서비스를 쓰다가 직접 만들면 '제가 직접 관리하는데 들어가는 시간' 에 대한 비용은 생깁니다만,

그만큼 초기에 신경써서 잘 만들고 예측 가능한 사고에 대응할 수 있는 방안(이게 보통 백업) 갖춰놓으면 왠만하면 큰 피해 없이 쓸만해서.

이걸로 큰 낭패 당할일은 없었으면 좋겠네요.

 

이 이후로 2개월이 더 지났는데 금방 적응하고 잘 쓰고 있습니다.

이쪽 관련 지식이 좀 있으시다면, 이런식으로 자가관리형 쓰시는것도 괜찮죠.

 

이번주는 글 정리할 시간이 많이 안나는데, 주말 전까지 글 한두개 정도는 더 들고 오고 싶네요... 희망사항(...)

그럼 남은 주말 재밌게 보내시고, 다음 글에서 뵙겠습니다.