주요 시사점
2015년 사용자의 이메일 주소와 기본 비밀번호 정보가 유출된 사건과 같은 여러 건의 데이터 유출 사례가 있습니다. 그럼에도 불구하고 추가적인 보호 조치를 취한 대부분의 개인은 이러한 사건의 영향을 받지 않았을 것으로 추정됩니다.
LastPass는 2021년에 Android 앱에 타사 추적 메커니즘이 통합되어 개인정보 보호 및 보안에 대한 우려를 불러일으킨 사실이 밝혀진 후 조사를 받았습니다. 이러한 주장에 대해 LastPass는 이러한 트래커는 애플리케이션 성능 모니터링에만 사용되며 사용자의 재량에 따라 비활성화할 수 있다고 주장했습니다.
2022년에 LastPass는 고객 데이터 및 사용자 볼트 콘텐츠에 무단으로 액세스하는 중대한 보안 사고를 겪었습니다. 이 사건의 여파는 서비스에서 사용하는 암호화 키에 대한 무단 액세스를 시사하는 증거와 함께 암호화된 백업 파일까지 손상된 것으로 밝혀지면서 초기 침해 이상으로 확대되었습니다.
과거에 LastPass가 경험한 다양한 보안 결함으로 인해 상당수의 사용자층이 아직 이러한 문제를 겪지 않은 대체 비밀번호 관리 솔루션을 선택했습니다.
개인은 기밀 정보를 보호하기 위해 LastPass와 같은 비밀번호 관리 솔루션을 자주 사용합니다. 안타깝게도 LastPass는 사용자 개인 정보를 위협하고 민감한 데이터를 노출하는 여러 보안 사고를 경험했습니다.
실제로 LastPass와 관련된 보안 침해의 빈도는 어느 정도이며, 현재 비밀번호 관리를 위한 안전한 옵션으로 남아 있나요?
LastPass 2015 침해
이미지 출처: Ervins Strauhmanis/ Flickr
설립 후 약 7년이 지난 2015년 6월, 사용자 기반의 이메일 주소와 마스터 비밀번호 정보, 그리고 기억 목적으로 사용되는 관련 힌트 또는 알림 문구가 유출되는 중대한 보안 침해가 LastPass에서 발생했습니다. 이 침입은 비정상적인 네트워크 동작으로 인해 LastPass에서 감지되었으며, 즉시 차단했습니다. 유감스럽게도 이 발견 이전에 이미 피해가 발생했습니다.
현재 만료된 고객에게 보내는 메모 (인터넷 아카이브에서 확인 가능)에서 LastPass는 비밀번호에 해싱 및 솔팅과 같은 추가 보안 계층을 사용하는 사용자는 해킹으로부터 안전할 가능성이 높다고 사용자에게 알렸습니다. 다행히도 대부분의 LastPass 사용자가 이러한 보안 방법을 사용하므로 일부 고객만 영향을 받을 가능성이 있었습니다.
LastPass는 이번 해킹으로 인해 사용자 계정 정보가 유출되지는 않았다고 밝혔지만, 사용자들이 이메일 주소를 검토하고 업데이트하고 자주 사용하는 마스터 비밀번호를 재검토하여 추가적인 안전 조치를 취할 것을 권장했습니다.
해킹이 발생한 지 몇 주 후, LastPass는 블로그 게시물 을 게시하여 해킹 이후 보안이 개선되었으며 고객을 더욱 보호하기 위해 크고 작은 여러 가지 변경 사항을 적용했다고 밝혔습니다. 이러한 변경 사항에는 LastPass의 암호화 인프라를 보호하는 하드웨어 보안 모듈(HSM)의 도입이 포함되었습니다.
LastPass 2021 추적 사고
2021년에 LastPass는 해킹을 당하지는 않았지만, Android 앱에 타사 추적기가 포함되어 있는 것이 발견되면서 문제가 발생했습니다. 2021년 2월, 엑소더스 프라이버시라는 보안 분석 앱은 라스트패스 안드로이드 앱에서 7개의 트래커를 발견했다고 밝히며 사용자들의 의심을 불러일으켰습니다. 보안 연구원 마이크 쿠케츠는 쿠케츠 IT 보안 블로그 게시물 에서 이 발견에 대해 “[광고와 트래커]를 비밀번호 관리자 앱에 통합하는 것은 완전히 의문의 여지가 없는 일”이라고 언급했습니다.
라스트패스 안드로이드 앱은 구글 애널리틱스, 세그먼트, 앱스플라이어 등 7개의 트래커를 포함하고 있다고 쿠케츠는 말합니다. 그러나 이러한 트래커를 통해 마케팅 분석 플랫폼에 대한 액세스 권한을 부여하는 것은 앱 보안에 대한 우려를 불러일으킨다고 쿠케츠는 비판했습니다.
라스트패스 안드로이드 앱에 트래커가 있다는 것은 개인 정보 보호 관점에서 우려할 수 있지만, 궁극적으로 데이터를 모니터링할지 여부와 방법을 결정하는 것은 개별 사용자의 몫이라는 점에 유의할 필요가 있습니다. 그러나 안전한 비밀번호 유지의 중요성을 고려할 때, 이러한 앱은 사용자 추적 및 보호와 관련하여 모범 사례를 채택하는 것이 현명해 보입니다.
이러한 비판에 대해 LastPass는 사용자 에게 분석 도구를 사용한다고 알렸습니다. LastPass는 “애플리케이션 원격 측정, 오류 및 충돌 보고 데이터, 높은 수준의 사용 통계 정보에 대한 통찰력을 확보하여 궁극적으로 [앱]의 전반적인 성능, 안정성 및 사용성을 개선하기 위한 것”이라고 강조했습니다.
LastPass 애플리케이션 내 분석 구성 요소의 선택적 특성으로 인해 Android 버전에 존재하는 추적 요소에 대한 우려는 줄어들지 않았습니다. 이러한 구성 요소의 포함은 보안 전문가와 최종 사용자 모두에게 좋지 않은 반응을 이끌어냈습니다.
LastPass 2022 침해
2015년 LastPass는 주목할 만한 보안 침해를 경험한 후 후속 위협을 성공적으로 극복한 것처럼 보였습니다. 그러나 2022년 한 해 동안 LastPass는 또 다른 사이버 공격을 당했으며, 이는 도전적이면서도 불안한 것으로 판명되었습니다. 이 사건의 영향은 즉각적인 여파를 넘어 2023년 새해까지 지속되었습니다.
지난 2022년 8월, 권한이 없는 개인이 개발자의 노트북 중 하나에 액세스하여 소스 코드가 유출되고 클라우드 기반 개발 플랫폼에 액세스할 수 있게 되었다는 사실을 알게 되었습니다. 이 상황의 심각성에도 불구하고 가해자가 고객 데이터를 입수하지 않았다는 사실에 안도하고 있습니다.
유감스럽게도 상황은 얼마 지나지 않아 악화되었습니다. 2022년 12월, 라스트패스는 8월에 발생한 침해로 인해 사이버 범죄자들이 11월에 처음 손상된 시스템의 민감한 측면에 추가로 액세스할 수 있게 되었다고 공개했습니다. 이 두 번째 침입에서 공격자들은 이메일 주소, IP 주소, 전화번호, 개인 식별자 등의 고객 정보에 무단으로 액세스했습니다. 또한 다양한 온라인 서비스의 사용자 이름과 비밀번호를 포함하는 특정 유형의 사용자 저장 로그인 자격 증명도 침해의 영향을 받았습니다.
2023년까지 해결될 기미가 보이지 않는 심각한 곤경에 직면한 것이 분명합니다.
2023년 후유증
2023년 한 해 동안 LastPass와 관련하여 새로운 침해가 보고되지는 않았지만, 2022년에 발생한 침해의 규모와 관련하여 불안한 세부 사항이 점점 더 많이 드러나고 있습니다.
2023년 1월, LastPass의 모회사인 GoTo는 2022년 해킹의 결과에 대한 성명을 발표했습니다. GoTo의 성명서 은 공격자들이 타사 클라우드 저장 장치를 통해 Central, Hamachi, Pro, join.me, RemotelyAnywhere를 비롯한 여러 다른 서비스도 공격의 표적이 되었다고 설명했습니다. 공격자들은 이 장치에서 암호화된 백업을 훔쳤습니다. 또한 GoTo는 도난당한 백업 중 일부의 암호화 키에도 액세스했음을 시사하는 증거를 발견했다고 밝혔습니다.
2023년 2월, 사이버 범죄자들이 최초 침해부터 2022년 후속 침해에 이르는 기간 동안 추가적인 악의적인 활동을 벌였다는 사실이 공개되면서 LastPass는 다시 뉴스의 전면에 등장했습니다.
이전 메시지에서 제공한 정보에 따르면, 2022년 11월 사이버 범죄자들이 소프트웨어 미디어의 취약점을 통해 LastPass의 고위급 직원의 개인용 컴퓨터에 무단으로 액세스한 것으로 보고되었습니다. 이 침해 이후 공격자들은 시스템에 키 입력 로깅 도구를 도입하여 피해자가 키보드를 사용하여 입력한 내용을 모니터링하고 기록할 수 있었습니다.
이 침해로 인해 침입자는 높은 수준의 LastPass 기업 계정에 액세스하여 민감한 정보가 포함된 보호된 데이터베이스에 무단으로 액세스할 수 있게 되었습니다. 이 특정 LastPass 회사 계정에서 높은 수준의 권한을 가진 사람은 단 4명에 불과했지만, 사이버 범죄자들은 보안 조치를 뚫고 이 중 적어도 하나의 계정을 손상시킬 수 있었다는 점은 놀랍습니다.
2022년 데이터 유출 사고를 일으킨 사이버 범죄자들은 유출된 로그인 정보를 무단 액세스 및 이후 약 440만 달러 상당의 디지털 자산 도난 등 불법적인 목적으로 활용한 것으로 보고되었습니다. 공격자들은 두 번째 침해에서 훔친 시드 문구와 암호화 키를 악용하여 피해자의 가상 화폐 지갑에 접근할 수 있었고, 이를 통해 미리 지정된 수신자에게 자금을 이체할 수 있었던 것으로 보입니다.
2022년 해킹으로 인해 노출된 모든 데이터를 확인하려면 해킹에서 액세스한 데이터의 전체 목록 을 참조하세요.
라스트패스는 여전히 사용하기에 안전한가요?
2008년부터 운영되어 왔음에도 불구하고, 최근 몇 년 동안 주로 LastPass와 관련된 수많은 데이터 유출 및 보안 사고가 발생했습니다. 과거 보안 사고의 역사를 고려할 때, 라스트패스를 사용하는 것에 대해 약간의 불안감을 가질 수 있습니다. 따라서 LastPass가 신뢰할 수 있는 옵션인지, 아니면 다른 솔루션을 사용하는 것이 더 바람직한지에 대한 의문이 제기됩니다.
LastPass는 일반적으로 간단한 메모 애플리케이션이나 기타 기본 저장 옵션을 사용하는 것보다 더 안전한 것으로 간주되지만, 더 강력한 보호 기능을 제공하는 다른 비밀번호 관리자가 시중에 나와 있습니다. 강력한 평판에도 불구하고 LastPass는 여러 보안 사고를 경험했으며, 이로 인해 사용자들 사이에서 향후 데이터 유출에 대한 우려가 널리 퍼졌습니다. 그 결과, 많은 개인이 흠 잡을 데 없는 실적을 가진 대체 비밀번호 관리자를 선호하여 LastPass를 포기하기로 결정했습니다. 2022년에 발생한 심각한 보안 결함으로 인해 이러한 추세는 더욱 악화되어 수많은 사용자가 이전에 사이버 공격이 보고된 적이 없는 업체로 전환했습니다.
신뢰할 수 있는 비밀번호 관리 솔루션으로 주목할 만한 두 가지 사례로는 보안 침해와 관련하여 흠잡을 데 없는 기록을 유지해 온 Dashlane과 NordPass가 있습니다. 따라서 개인이 고객 정보나 내부 네트워크가 유출된 적이 없는 비밀번호 관리 솔루션을 선택하는 것이 가능합니다.
현재 LastPass를 사용 중이며 다른 플랫폼으로 마이그레이션하려는 경우, LastPass 계정 비활성화를 위한 종합 튜토리얼을 참조하시기 바랍니다. 또한, 적합한 대안을 선택하는 데 도움이 필요한 경우 가장 안전한 비밀번호 관리자를 자세히 소개하는 유익한 리소스를 제공합니다.
과거에 보안 침해를 경험한 적이 있지만, 이것이 반드시 비밀번호를 보호하는 데 신뢰할 수 없는 옵션이 되지는 않습니다. 실제로, 기술적으로 정교하지 않은 사용자도 최소한의 노력으로 민감한 로그인 정보를 효과적으로 보호할 수 있는 다양하고 유용한 기능을 계속 제공하고 있습니다.
LastPass는 비밀번호 관리의 왕이 아니다
비밀번호 저장에 LastPass를 사용하는 것이 대부분의 경우 실행 가능한 옵션으로 간주될 수 있지만, 더 높은 수준의 보안을 제공하는 대체 방법이 존재한다는 사실을 인식하는 것이 중요합니다. 이러한 옵션은 일반적으로 LastPass보다 더 강력하고 포괄적이지만, 민감한 데이터에 대해 향상된 보호 기능을 제공할 수 있습니다.