· RustDesk Team · 보안 · 14 분 소요
Chrome Remote Desktop, 안전할까요? 솔직한 리뷰
Chrome Remote Desktop은 안전할까요? 암호화 방식, PIN 및 구글 계정 기반 모델, 실제 위험 요소, 그리고 자체 호스팅과의 차이점을 공정하게 살펴봅니다.

간단히 말하면, 가벼운 개인 용도라면 Chrome Remote Desktop(CRD)은 상당히 안전한 편입니다. 구글이 제공하는 이 무료 도구는 군더더기 없이 세션을 암호화하고, PIN과 구글 계정을 통해 접속을 제한합니다. 솔직히 짚어야 할 한계도 있습니다. 폐쇄형 소스이고, 모든 연결이 전적으로 구글 클라우드를 통해 중계되며, 관리자 제어 기능이 거의 없고, 다른 모든 원격 접속 도구와 마찬가지로 사기범에게 악용될 수 있다는 점입니다. 지금부터 근거를 바탕으로 공정하게 하나씩 살펴보겠습니다.
짧은 답변
CRD는 원래 만들어진 목적, 즉 자신의 기기에 접속하거나 가족을 도와주는 용도에는 충분히 안전합니다. 이때 연결은 구글이 안전하게 보호해 줍니다. 구글의 공식 지원 문서에 따르면 모든 원격 데스크톱 세션은 완전히 암호화되며, 상시 접속(unattended access)에는 PIN이 필요하고, 일회성 지원 세션에는 단 한 번만 사용할 수 있는 일회용 액세스 코드가 사용됩니다. 개인 용도라면 이 정도면 합리적인 기본 수준입니다.
다만 가벼운 용도를 벗어나는 순간부터는 한 번 더 생각해봐야 합니다. CRD는 구글 계정에 종속되어 있고 관리자 제어 기능이 제한된 구글 인프라 위에서 작동하며, 실질적인 약점은 추측 가능한 PIN, 탈취된 구글 계정, 그리고 소셜 엔지니어링입니다. 그렇다고 설치 자체가 위험하다는 뜻은 아닙니다. 다만 이 도구를 어느 정도까지 신뢰하고 의존해야 할지를 결정짓는 요소라는 의미입니다.
Chrome Remote Desktop이 세션을 보호하는 방식
실질적으로 작동하는 보호 장치는 세 가지이며, 모두 구글 도움말 페이지에 문서화되어 있습니다.
- 암호화. 구글은 “모든 원격 데스크톱 세션은 완전히 암호화됩니다”라고 명시하고 있습니다. 제3자 분석에 따르면 이 연결은 일반적으로 표준 웹 전송 보안 방식(AES를 사용하는 TLS)을 사용하는 것으로 설명됩니다. 구글은 일반 소비자용 페이지에 상세한 프로토콜 명세를 공개하지 않으므로, 이 암호화 수준을 적절하지만 독립적으로 검증할 수는 없는 것으로 받아들이는 것이 좋습니다.
- 상시 접속을 위한 PIN. 지속적인 원격 접속을 위해 설정해 둔 컴퓨터에 접속하려면 PIN을 입력해야 합니다. 이는 여러분의 구글 세션에 접근할 수 있는 임의의 사람이 조용히 연결하는 것을 막아주는 장치입니다.
- 지원용 일회용 액세스 코드. 실시간으로 누군가를 도와줄 때, 호스트는 구글에 따르면 단 한 번만 사용할 수 있는 코드를 생성하며, 접속을 계속 공유하려면 주기적으로 재확인이 필요합니다.
이 위에 한 겹 더 얹어지는 것이 구글 계정 자체이며, 2단계 인증으로 보호할 수 있고, 원격 접속 용도라면 반드시 그렇게 해야 합니다. 신뢰할 수 있는 네트워크에서의 개인 용도라면, 이러한 보호 체계는 정말로 충분합니다.
실제 위험이 존재하는 지점
CRD의 약점은 특별하거나 이색적인 것이 아닙니다. 그저 이 도구의 설계 방식에서 자연스럽게 따라 나오는 세 가지입니다.
취약한 PIN. PIN은 상시 접속을 잠그는 자물쇠이며, 구글이 요구하는 최소 자릿수는 단 6자리입니다. 낯선 사람이 단 한 번 추측을 시도하는 경우라면 6자리로도 충분하지만, 사람들은 생일, 반복되는 숫자, 연속된 숫자처럼 예측 가능한 번호를 선택하는 경향이 있고, 이는 자릿수가 암시하는 것보다 실제 탐색 범위를 훨씬 좁혀버립니다. 하루 24시간, 연중무휴로 접속 가능하게 열어 둔 기기라면, 허술한 PIN이 가장 유력한 침입 경로가 됩니다. 예측하기 어려운 PIN을 선택하세요.
구글 계정 탈취. 상시 접속용 CRD는 구글 계정에 묶여 있기 때문에, 그 계정 자체가 곧 보안 경계선입니다. 누군가 피싱으로 구글 비밀번호를 알아내고 2단계 인증이 꺼져 있다면, 원격 데스크톱 접근 권한도 함께 넘어가게 됩니다. 이는 CRD 자체의 결함이라기보다는 모든 것을 구글 계정이라는 하나의 바구니에 담아 둔 데 따른 결과에 가깝습니다. 바로 그런 이유로, CRD를 사용한다면 해당 계정에 2단계 인증을 켜두는 것은 타협의 여지가 없는 필수 사항입니다.
사기. 다른 모든 원격 접속 도구와 마찬가지로, 실제 가장 큰 피해는 암호화가 뚫려서가 아니라 소셜 엔지니어링에서 비롯됩니다. 기술 지원을 사칭하는 사기범들이 피해자를 속여 원격 데스크톱 소프트웨어를 설치하게 하고 접속 권한을 공유하게 만든 뒤 계좌를 털어간다고 FBI가 경고한 바 있습니다. CRD의 일회용 코드는 전화로 “친절한 기술자”에게 소리 내어 읽어주기 쉬운데, 바로 이 점이 문제입니다. 공정하게 말하자면 이는 CRD의 취약점이 아니라 사용상의 위험입니다. 동일한 수법은 AnyDesk, TeamViewer, RustDesk에서도 똑같이 통합니다. 이러한 사기를 피하는 방어 습관은 원격 데스크톱 사기를 피하는 방법에서 다루고 있습니다.
CRD가 제공하지 않는 것
CRD는 의도적으로 최소한의 기능만 담고 있으며, 많은 사람들에게는 바로 그 점이 매력입니다. 하지만 특히 개인 용도를 넘어서는 사용을 고려하고 있다면, 그에 따르는 트레이드오프를 분명히 짚고 넘어갈 필요가 있습니다.
자체 호스팅은 불가능합니다. 모든 CRD 연결은 구글 클라우드를 통해 중계되며 구글 계정에 종속되어 있습니다. 랑데부(rendezvous) 서비스를 자체 서버에서 운영할 방법도 없고, 검증할 수 있는 소스 코드도 없습니다. 즉, 호스트가 설명된 대로 동작한다는 것을 그저 구글의 말을 믿고 받아들여야 합니다. 팀 관리, 중앙 집중식 정책, 접근 제어 목록, 세션 로깅, 기기 그룹화 같은 기능도 거의 없습니다. 이는 구글을 깎아내리려는 말이 아니라, 애초에 CRD가 그런 용도로 만들어지지 않았다는 사실을 말하는 것뿐입니다. 이런 기능이 필요하다면 이미 CRD로는 부족한 단계에 이른 것이며, 더 강력한 무료 원격 데스크톱 도구나 전용 Chrome Remote Desktop 대안을 찾아보는 것이 솔직한 다음 단계입니다.
바로 이 지점에서 오픈소스 기반의 자체 호스팅 모델이 단순히 더 많은 기능이 아니라 전혀 다른 종류의 신뢰를 제공합니다. CRD는 검증할 수 있는 공개된 프로토콜 없이 그 암호화를 적절한 것으로 받아들이라고 요구합니다. 반면 RustDesk는 AGPL 라이선스 하에 오픈소스로 공개되어 있어, 클라이언트와 그 암호화 방식을 신뢰에 맡기는 대신 직접 검증할 수 있습니다. 그리고 CRD가 여러분의 구글 계정을 보안 경계선으로 삼는 반면, 자체 호스팅은 ID/랑데부 서버와 릴레이 서버를 여러분 자신의 기기나 VPS에 두므로, 중계와 접근 정책이 단일 클라우드 로그인 뒤가 아니라 여러분이 직접 통제하는 인프라에 남아 있게 됩니다. 이는 데이터 주권과 GDPR 문제와 직결되는 부분입니다.
다만 분명히 해둘 점은, 이러한 개방성은 양날의 검이라는 것입니다. 코드가 공개되어 있다는 것은 RustDesk 자체의 취약점 역시 공개된다는 뜻이므로, 최신 릴리스와 취약점 공개 기록을 꾸준히 확인해야 합니다. 또한 자체 호스팅은 한 종류의 관리 부담을 다른 종류로 바꿀 뿐입니다. CRD에 필요한 계정과 PIN 관리가, 여러분이 직접 패치해야 하는 서버와 여전히 엔드포인트 간에 직접 오가는 트래픽으로 바뀌는 것입니다. 이는 더 가벼운 것이 아니라, 다른 방식의 신뢰 모델입니다.
결론
Chrome Remote Desktop은 안전할까요? 자신의 PC에 접속하거나 가족을 도와주는 정도의 가벼운 개인 용도라면, 네, 상당히 안전하며 단순하고 비용도 거의 들지 않습니다. 딱 그 수준으로 평가하면 됩니다. 구글 계정에 2단계 인증을 켜고, PIN을 생일 같은 숫자로 정하지 말고, 먼저 연락해 온 상대방에게는 절대 액세스 코드를 알려주지 않는다면, 실제로 중요한 위험 요소는 이미 다 관리한 셈입니다.
CRD가 한계에 부딪히는 지점은 제어와 확장성입니다. 폐쇄형 소스이고, 구글 클라우드를 통해 중계되며, 관리 기능이 빈약합니다. 코드를 직접 검증해야 하거나, 중계를 자체 인프라에서 유지해야 하거나, 몇 대를 넘는 기기를 관리해야 한다면, 그때가 바로 오픈소스 기반의 자체 호스팅 옵션을 살펴봐야 할 시점입니다. CRD가 안전하지 않아서가 아니라, 애초에 그런 용도를 목표로 만들어진 도구가 아니기 때문입니다.
Frequently asked questions
Chrome Remote Desktop을 사용해도 안전한가요?
가벼운 개인 용도로는 Chrome Remote Desktop이 상당히 안전한 편입니다. 구글은 모든 원격 데스크톱 세션이 완전히 암호화되며, 접속에는 PIN이 필요하고, 원격 지원 세션에는 일회용 액세스 코드가 사용된다고 밝히고 있습니다. 주요 위험 요소는 취약한 PIN, 연동된 구글 계정의 탈취, 그리고 다른 원격 접속 도구와 마찬가지로 사기범이 사용자를 속여 접속 권한을 얻어내는 경우입니다. 관리자 제어 기능은 제한적이며, 전적으로 구글의 클라우드에서 작동합니다.
Chrome Remote Desktop은 암호화되나요?
네, 그렇습니다. 구글의 지원 문서에는 모든 Chrome Remote Desktop 세션이 완전히 암호화된다고 명시되어 있으며, 제3자 리뷰에서도 표준 웹 전송 보안 방식을 사용한다고 설명합니다. 다만 구글은 일반 소비자용 도움말 페이지에 상세한 프로토콜 명세를 공개하지 않으므로, 가벼운 용도를 넘어서는 사용이라면 이 암호화가 적절한 수준이긴 하지만 독립적으로 검증하기는 어렵다고 받아들이는 것이 좋습니다.
Chrome Remote Desktop의 보안 위험 요소는 무엇인가요?
실질적인 위험 요소는 세 가지입니다. 취약하거나 추측하기 쉬운 PIN(최소 자릿수는 6자리입니다), 호스트에 연동된 구글 계정의 탈취, 그리고 피해자를 속여 프로그램을 설치하고 액세스 코드를 공유하게 만드는 소셜 엔지니어링 사기입니다. 구글 계정에 2단계 인증을 활성화하고, 먼저 연락해 온 상대방에게는 절대 코드를 알려주지 않는 것만으로도 실제 위험의 대부분을 없앨 수 있습니다.
Chrome Remote Desktop을 자체 호스팅할 수 있나요?
아니요, 불가능합니다. Chrome Remote Desktop은 전적으로 구글의 인프라를 통해 중계되며 구글 계정에 종속되어 있습니다. 연결 서비스를 자체 서버에서 운영하거나 클라이언트 코드를 검증할 방법이 없습니다. 자체 호스팅이나 직접 검토할 수 있는 코드가 중요하다면, 오픈소스 대안이 다른 방식의 신뢰 모델을 제공합니다.



