2025년 3월, 연방 검사들은 암호화폐 압수를 LastPass 침해로 시작된 절도와 연결했습니다. 피해자들은 보안 메모에 시드 구문을 저장했고, 공격자들은 2022년 암호화된 보관함 데이터를 탈취했으며, 약한 마스터 비밀번호는 나중에 오프라인으로 해독되었습니다. 이 사건에 대한 보도를 읽어보세요.
이 이야기가 자체 호스팅 비밀번호 관리자 카테고리를 만들지는 않았지만, 더 많은 사람들을 그 방향으로 밀어붙였습니다.
이 글은 일반적인 기능 목록을 건너뜁니다. 개인 사용, 소규모 팀, 감사 요구가 있는 조직을 위한 선택을 제공합니다. 또한 대부분의 가이드가 빠뜨리는 두 가지 부분, 즉 백업과 마이그레이션을 다룹니다.
직접적인 답변
- 단독 사용자, 가족 또는 홈랩: Vaultwarden 소형 VPS에서. 공식 Bitwarden 클라이언트를 사용하고, 가볍게 유지되며 설정을 간단하게 유지합니다.
- 소규모 팀 또는 공유 자격 증명 워크플로: Vaultwarden 조직 모바일 중심 팀이나, Passbolt 공유 자격 증명 관리가 자체 호스팅의 실제 이유라면.
- 감사 또는 컴플라이언스 요구 사항이 있는 조직: Bitwarden의 공식 자체 호스팅 서버. 더 무겁지만, 대부분의 조직에 필요한 감사 추적과 벤더 지원을 갖추고 있습니다.
- 어느 것을 선택하든: 한 번도 복원해 본 적 없는 백업은 백업이 아닙니다. 빈 서버에서 콜드 복원을 테스트하세요.
자체 호스팅의 의미
암호화 모델은 변하지 않습니다. 암호화는 여전히 클라이언트에서 이루어집니다. 서버는 읽을 수 없는 암호문을 저장합니다. 차이는 누가 서버를 운영하느냐입니다. 클라우드 Bitwarden의 경우 Bitwarden이 운영합니다. Vaultwarden이나 Bitwarden 자체 호스팅의 경우 사용자가 직접 운영합니다.
이것은 HashiCorp Vault, Doppler, AWS Secrets Manager 같은 시크릿 관리자와 같은 것이 아닙니다. 그 도구들은 앱을 위한 것입니다. 비밀번호 관리자는 사람을 위한 것입니다.
여기서 다루는 범위: Vaultwarden, Bitwarden 자체 호스팅, Passbolt CE, Psono, 그리고 서버 없는 옵션으로서의 Syncthing을 사용하는 KeePassXC.
다섯 가지 도구 한눈에 보기
| 도구 | 스택 | 일반적인 리소스 사용량 | 감사 상태 | 적합한 용도 |
|---|---|---|---|---|
| Vaultwarden | Rust, 단일 Docker 컨테이너 | 유휴 시 ~50 MB | 공식 제3자 감사 없음 | 개인, 가족, 소규모 팀 |
| Bitwarden 자체 호스팅 | .NET, 다중 컨테이너 스택 | 유휴 시 ~2 GB | 공개된 제3자 감사 | 감사 기록이 필요한 조직 |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 MB 작동 중 | 제3자 감사 완료 | 팀 중심의 자격 증명 공유 |
| Psono | Python / PostgreSQL, 멀티 컨테이너 | ~512 MB+ | 부분적인 감사 이력 | 기업 수준의 공유 모델을 원하는 팀 |
| KeePassXC + Syncthing | 로컬 DB + 피어 동기화 | 서버 없음 | 독립적인 리뷰 발행 | 서버가 전혀 필요 없는 단독 사용자 |
Vaultwarden
Vaultwarden은 Bitwarden 서버의 Rust 재작성 버전입니다. 공식 Bitwarden 클라이언트를 사용하므로 일상적인 경험이 클라우드 Bitwarden과 동일하게 느껴집니다. 하나의 Docker 컨테이너에서 실행되며 리소스 사용량을 낮게 유지합니다.
절충점은 간단합니다. Vaultwarden에는 공식적인 제3자 보안 감사가 없습니다. 그렇다고 나쁜 것은 아닙니다. 단지 신뢰 모델이 다를 뿐입니다.
단독 사용자, 커플, 가족에게는 이 절충점이 보통 괜찮습니다. 모바일 중심 팀에게는 주로 개인 보관함과 몇 가지 공유 컬렉션을 사용한다면 여전히 탄탄한 선택입니다.
소형 VPS는 대부분의 Vaultwarden 설정에 충분합니다. 개인 보관함의 경우 약 1 GB가 최적의 지점입니다. 소규모 가구나 약간 추가 활동이 있는 팀의 경우 2 GB가 더 많은 여유 공간을 제공합니다.
최신 상태로 유지하세요. Bitwarden 클라이언트 변경으로 인해 구형 Vaultwarden 빌드가 잠시 중단될 수 있으므로, 서버가 몇 달씩 뒤처지지 않도록 하세요.
선택: Vaultwarden 대부분의 개인 사용 사례에 적합합니다.
Bitwarden 자체 호스팅
Bitwarden 자체 호스팅은 전체 벤더 스택입니다. Vaultwarden보다 무겁지만, 정확한 Bitwarden 서버 모델, 공개된 감사 작업 및 구매 담당자나 보안 검토자 앞에서 방어하기 더 쉬운 지원 경로를 얻는 대가입니다.
Bitwarden은 모든 제품에 걸쳐 제3자 평가 작업을 공개합니다.
날짜와 보고서로 질문에 답해야 하는 조직, 즉 모호한 답변이 아닌 구체적인 수치가 필요한 곳에 적합한 선택입니다. 더 많은 공간도 필요합니다. 소규모 조직은 시작점으로 4 GB VPS를 계획하고, 더 큰 팀이나 무거운 백업 작업을 위해 여유 공간을 확보해야 합니다.
선택: Bitwarden 자체 호스팅 감사 이력이 경량 스택보다 더 중요할 때.
Passbolt CE
Passbolt은 처음부터 팀을 중심으로 설계되었습니다. 공유 모델은 대부분의 개인 비밀번호 관리자 설정이 제공하는 것보다 세분화되어 있으며, 그것이 바로 핵심입니다. 공유 자격 증명이 주된 작업일 때, 즉 나중에 생각하는 부수적인 기능이 아닐 때 가장 잘 작동합니다.
단점은 모바일 지원입니다. Passbolt는 실제로 여전히 데스크톱 우선입니다. 오프라인 비상 접근 모드는 로드맵에 있지만, 현재 성숙한 오프라인 경험을 갖추는 것과는 다릅니다.
Passbolt도 Vaultwarden보다 더 많은 리소스가 필요합니다. 2 GB VPS가 최소이며, 실제 팀 스택의 시작점으로 4 GB가 더 안전합니다.
선택: Passbolt CE 공유 자격 증명 워크플로가 자체 호스팅의 유일한 이유일 때.
Psono
Psono는 중간에 위치합니다. 기업 수준의 공유 모델, 별도의 관리자 및 사용자 포털을 갖추고 있으며, 일반 개인 보관함보다 그룹 액세스를 쉽게 관리할 수 있는 구조를 제공합니다.
Vaultwarden, Bitwarden, Passbolt보다 덜 일반적이어서 커뮤니티가 더 작습니다.
Psono는 Vaultwarden 조직보다 더 체계적인 것을 원하지만 Passbolt의 모바일 트레이드오프를 원하지 않는 팀에게 적합합니다.
선택: Psono Bitwarden 자체 호스팅으로 바로 넘어가지 않고 더 기업 친화적인 공유 모델을 원하는 팀을 위해.
KeePassXC + Syncthing
이것은 서버 없는 방법입니다. KeePassXC는 자격 증명을 로컬 암호화된 .kdbx 파일에 저장합니다. Syncthing이 해당 파일을 모든 기기에 복사합니다. 서버 없음. API 없음. Docker 없음. 월 청구서 없음.
절충점은 현실적입니다. 제대로 된 팀 공유가 없습니다. 두 기기가 동시에 쓰면 충돌 처리가 복잡해집니다. 웹 보관함이 없으므로 빌린 기기에서 접근하는 것은 불가능합니다.
이것은 인프라를 운영하고 싶지 않은 두세 개의 기기를 가진 단일 사용자를 위한 올바른 답변입니다.
선택: KeePassXC + Syncthing 서버를 원하지 않는 사용자를 위한.
중요한 백업 규칙
자체 호스팅 비밀번호 관리자는 그 뒤의 복원 프로세스만큼만 우수합니다.
가장 안전한 접근 방식은 간단합니다:
- 데이터 사본 세 개 유지
- 두 가지 다른 종류의 미디어에 저장
- 사본 하나는 오프사이트에 보관
간단한 설정으로도 충분합니다. 야간 데이터베이스 덤프를 수행하고, S3 호환 스토리지에 복사한 후, 다른 곳에 보관하는 이동식 미디어에 두 번째 복사본을 유지하세요.
그 다음, 대부분의 사람들이 건너뛰는 단계를 하세요. 빈 VM에 백업을 복원하고 로그인해보세요. 작동하면 백업이 있는 것입니다. 작동하지 않으면, 작동하기를 바라는 파일이 있는 것입니다.
LastPass, 1Password 또는 Bitwarden Cloud에서 마이그레이션
이 목록에서 가장 쉬운 이동은 Bitwarden 클라우드에서 Vaultwarden으로의 전환입니다. 클라이언트에서 서버 URL을 변경하고, 로그인한 다음 동기화하세요.
LastPass에서 Vaultwarden으로 이전하려면 더 많은 작업이 필요합니다. LastPass 볼트를 CSV로 내보내고 Bitwarden 클라이언트를 통해 가져온 다음, 같은 클라이언트를 자체 호스팅 서버로 연결하세요.
세 가지 사항에 주의가 필요합니다:
- 첨부 파일은 CSV와 별도로 내보내집니다. 수동으로 다시 업로드하세요.
- 폴더 구조가 바뀔 수 있습니다. 새 레이아웃을 신뢰하기 전에 빠르게 확인하세요.
- TOTP 시드를 확인해야 합니다. 기존 볼트를 삭제하기 전에 몇 개 계정에 로그인해보세요.
보편적인 규칙은 간단합니다: 30일 동안 원본 볼트를 삭제하지 마세요.
어떤 독자에게 어떤 옵션이 맞는가
개인 사용에 가장 간단한 경로를 원한다면 Vaultwarden을 선택하세요.
팀이 공유 자격 증명이 필요하고 주로 데스크톱에서 작업한다면 Passbolt가 가장 명확한 선택입니다.
감사 기록과 벤더 지원이 가장 중요하다면, Bitwarden 셀프 호스팅이 더 안전한 선택입니다.
서버가 전혀 필요 없다면, KeePassXC와 Syncthing 조합이 가장 깔끔한 탈출구입니다.
마무리
사용 사례에 맞는 설정을 선택하고, 적합한 도구를 배포한 후 다음 단계로 넘어가세요.
다음 단계는 콜드 복원 테스트입니다. 빈 VM을 시작하고, 최신 백업을 복원한 다음 로그인하세요.
