Offcanvas

보안 / 소비자IT

전 세계 2,500만명 쓰는 비밀번호 서비스 ‘라스트패스’ 소스코드 해킹… 벌써 5번째

2022.08.29 Alaina Yee  |  PCWorld
라스트패스에 따르면 마스터 키는 이번 공격의 영향을 받지 않았지만, 우려된다면 마스터 비밀번호를 바꾸는 것이 좋다. 
 
ⓒDepositphotos

전 세계 사용자가 2,500만명이 넘는 비밀번호 관리 서비스 라스트패스(LastPass)가 데이터 침해 사고가 발생했다고 지난 26일(현지 시각) 밝혔다. 회사는 공격자들이 개발 환경에 침투한 것으로 보이며, 이를 통해 소스코드 일부를 가져갔다고 밝혔다. 하지만 사용자의 마스터 비밀번호는 무사하다고 업체 측은 전했다.

라스트패스는 보도자료와 공식 블로그에서 해킹 원인을 설명했다. 한 개발자의 계정이 해킹 당해 라스트패스 서비스의 소스코드 및 독점 기술 일부가 유출됐다고 말했다. 회사는 각종 보안 강화 조치를 취할 것이며, 외부 사이버보안 및 포렌식 업체에 의뢰해 현재 사건 조사가 진행 중이라고 밝혔다. 아울러 사용자의 마스터 비밀번호가 공격의 영향을 받지 않았기 때문에 이를 바꿀 필요는 없다고 주장했다. 
 
라스트패스는 회사의 서비스가 제로 놀리지(Zero Knowledge) 아키텍처를 기반으로 해 마스터 비밀번호는 해커는 물론 당사도 알 수 없게 설계되었다고 주장했다. ⓒLastPass

라스트패스 해킹은 이번이 처음은 아니다. 2016년에는 사용자 계정 접속에 필요한 이메일 주소, 비밀번호 리마인더 및 인증 관련 해시값 등을 노린 공격에 노출됐다. 

구글 프로젝트 제로(Google Project Zero) 팀의 보안 전문가 타비스 오르만디는 같은 해 라스트패스의 취약점을 발견했다고 알렸고, 2017년에는 사용자의 비밀번호를 탈취할 수 있는 취약점이 라스트패스의 브라우저 확장 프로그램에서 드러났다. 가장 최근인 2019년 오르만디는 또 브라우저 확장 프로그램에서 사용자가 마지막으로 사용한 비밀번호를 탈취할 수 있는 취약점을 발견했다.  

라스트패스는 사용자 경험 측면에서 좋은 서비스이지만, 거듭된 보안 사고를 비롯한 각종 PR 실수(지난 12월 자격 증명 스터핑 해킹이 발생했다고 경고 이메일을 보냈지만 오보로 밝혀졌다)를 고려하면 우려의 목소리가 나올 수밖에 없다. 
 
만약 회사의 해명을 완전히 믿지 못하겠거나 라스트패스의 비밀번호 저장소(Password Vault)의 안전이 우려된다면, 여러 조치를 취할 수 있다. 먼저 간단한 방법은 마스터 비밀번호를 변경하는 것이다. 또한 이중 인증이 활성화되어 있는지 확인하는 것도 한 가지 방법이다. 

보안을 더 강화하고 싶다면 오시(Authy)나 구글 OTP 같은 소프트웨어 기반 솔루션 대신 유비키(Yubikey) 같은 하드웨어 인증 솔루션을 쓰는 것도 다른 방법이다. 하드웨어 솔루션을 쓸 때는 백업용으로 2개를 마련하는 게 좋다. 

다른 서비스로 바꾸는 방법도 있다. 빅워든(Bitwarden), 대시래인(Dashlane) 그리고 원패스워드(1Password) 등의 옵션이 있다. 클라우드 기반 서비스의 잠재적 취약성을 아예 배제하고 싶다면 키패스(Keypass) 같은 로컬 데이터베이스 전용 서비스도 있다. 

하지만 그렇다고 해도 비밀번호 관리 서비스를 쓰는 것이 안 쓰는 것보다 낫다. 이는 온라인 보안에 매우 중요한 역할을 하므로 위와 같은 조치를 취하거나 더 나은 서비스를 찾아보는 것이 바람직하다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.