LastPass는 몇 번이나 해킹당했으며 여전히 사용하기에 안전합니까?

주요 내용 요약

  • LastPass는 과거에 여러 차례 데이터 유출 사고를 겪었으며, 특히 2015년에는 사용자 이메일과 마스터 비밀번호가 노출되는 사건이 있었습니다. 하지만 보안 강화 조치를 사용하는 사용자 대부분은 이러한 유출로부터 안전할 가능성이 높습니다.
  • 2021년에는 LastPass 안드로이드 앱에 제3자 추적기가 포함되어 보안 우려를 야기했습니다. 이에 대해 LastPass는 추적기가 앱 사용 측정에 사용되었으며, 사용자가 이를 비활성화할 수 있다고 밝혔습니다.
  • 2022년에는 공격자가 고객 데이터와 사용자 저장소 정보에 접근하는 심각한 침해 사고가 발생했습니다. 이 사고로 인해 LastPass와 모회사인 GoTo는 암호화된 백업이 도난당하고 암호화 키가 유출되는 추가적인 피해를 입었습니다.
  • 전반적으로 LastPass는 일반적으로 안전한 서비스로 평가되지만, 여러 차례의 유출 및 보안 사고로 인해 일부 사용자는 다른 안전한 비밀번호 관리 서비스로 이동하고 있습니다.

많은 사람들이 개인 데이터 보호를 위해 비밀번호 관리자를 사용하며, LastPass는 그중 가장 인기 있는 선택지 중 하나입니다. 그러나 LastPass는 여러 차례의 데이터 유출로 인해 고객의 민감한 정보를 위험에 빠뜨린 적이 있습니다.

그렇다면 LastPass는 정확히 몇 번 해킹당했으며, 현재도 사용하기에 안전할까요?

1. LastPass 2015년 유출 사고

사진 제공: Ervins Strauhmanis/플리커

LastPass의 첫 번째 해킹 사고는 회사가 설립된 지 7년 후인 2015년 6월에 발생했습니다. 이 심각한 유출로 인해 LastPass 사용자들의 이메일 주소와 마스터 비밀번호는 물론, 마스터 비밀번호를 기억하는 데 사용되는 힌트나 알림 문구까지 노출되었습니다. 해킹은 LastPass가 네트워크에서 의심스러운 활동을 감지하면서 발견되었고 즉시 차단되었습니다. 하지만 이미 상당한 피해가 발생한 후였습니다.

만료된 고객 공지 (인터넷 아카이브를 통해 확인 가능)에서 LastPass는 비밀번호 해싱 및 솔팅과 같은 추가 보안 조치를 사용한 사용자는 해킹으로부터 안전할 가능성이 높다고 알렸습니다. 다행히 대부분의 LastPass 사용자는 이러한 보안 기술을 사용하고 있었으므로, 소수의 사용자만 영향을 받았을 것으로 추정됩니다.

LastPass는 또한 공격으로 인해 사용자 계정에 접근한 적은 없다고 밝혔지만, 사용자들에게 이메일 주소를 확인하고, 마스터 비밀번호를 정기적으로 변경하거나 더욱 강화할 것을 권장했습니다.

해킹 발생 몇 주 후, LastPass는 블로그 게시물을 통해 해킹 이후 보안을 강화했으며, 고객 보호를 위해 크고 작은 변화가 적용되었다고 밝혔습니다. 이러한 변경 사항 중 하나는 LastPass의 암호화 인프라를 보호하는 하드웨어 보안 모듈(HSM) 도입이었습니다.

2. LastPass 2021년 추적 사건

2021년에는 LastPass가 해킹당하지는 않았지만, 안드로이드 앱에 제3자 추적기가 포함되어 있다는 사실이 밝혀지면서 논란이 되었습니다. 2021년 2월, Exodus Privacy라는 보안 분석 앱은 LastPass 안드로이드 앱에서 7개의 추적기를 발견했다고 발표하여 사용자들 사이에서 우려가 커졌습니다. 보안 연구원 Mike Kuketz는 이에 대해 Kuketz IT 보안 블로그 게시글에서 “비밀번호 관리 앱에 광고 및 추적기를 통합하는 것은 절대 용납될 수 없다”고 비판했습니다.

Kuketz는 LastPass 안드로이드 앱에서 발견된 7개의 추적기 목록을 공개했는데, 여기에는 Google Analytics, Segment 및 AppsFlyer 추적기가 포함되어 있었습니다. 그는 이러한 방식으로 마케팅 분석 플랫폼에 접근 권한을 부여하는 것이 “보안 관점에서 매우 의심스럽다”고 지적했습니다.

Kuketz는 추적기가 실제로 사용자를 감시하는지 확인하기 위해 LastPass 안드로이드 앱을 수동으로 분석해야 한다고 강조했습니다. 그는 추적기의 존재 자체가 보안을 최우선으로 해야 할 앱에 부적절한 행동이라고 비판했습니다.

이러한 비판에 대해 LastPass는 사용자들에게 분석 도구를 사용하고 있음을 인정했습니다. LastPass는 “애플리케이션 원격 측정, 오류 및 충돌 보고 데이터, 그리고 높은 수준의 사용 통계 정보를 수집하여 궁극적으로 앱의 전반적인 성능, 안정성 및 유용성을 개선하기 위해 이러한 작업을 수행했다”고 주장했습니다.

또한 LastPass는 앱의 분석 기능은 사용자가 고급 설정에서 비활성화할 수 있는 옵션 기능이라고 밝혔습니다. 하지만 이러한 설명에도 불구하고, LastPass 안드로이드 앱에 추적기가 포함되어 있다는 사실은 보안 전문가와 사용자들에게 좋지 않은 인상을 남겼습니다.

3. LastPass 2022년 유출 사고

2015년 첫 번째 사고 이후, LastPass는 또 다른 사이버 공격을 받기까지 시간이 걸렸습니다. 그러나 2022년에는 실제로 또 다른 공격이 발생했습니다. 특히, 이 해는 LastPass에게 매우 어려운 해였습니다. 8월 초에 발생한 첫 번째 해킹은 2023년까지 계속해서 영향을 미치고 있습니다.

2022년 8월 초, LastPass는 해커가 LastPass 개발자의 노트북을 손상시켜 소스 코드를 훔치고 회사의 클라우드 기반 개발 플랫폼에 접근했다는 사실을 확인했습니다. 해커는 개발자 계정의 다중 인증 보안을 우회하여 자신을 사용자로 인증하는 데 성공했습니다. 이는 매우 심각한 사건이었지만, 다행히 해커는 고객 정보에는 접근하지 못했습니다.

하지만 몇 달 후 상황은 더욱 악화되었습니다. 2022년 12월, LastPass는 8월 해킹으로 인해 공격자들이 인프라의 더욱 민감한 영역에 접근할 수 있게 되었으며, 이는 11월에 처음 악용되었다고 발표했습니다. 이번에는 해커가 LastPass 고객 데이터에 접근하여 이메일 주소, IP 주소, 전화번호, 이름 등과 함께 특정 사용자 저장소 데이터(온라인 계정에 저장된 사용자 이름과 비밀번호)를 유출했습니다.

말할 필요도 없이 LastPass는 심각한 문제에 직면했으며, 2023년에도 상황은 나아지지 않을 것으로 보입니다.

2023년의 여파

2023년에는 LastPass에 대한 새로운 해킹은 발생하지 않았지만, 2022년 공격과 관련된 우려스러운 정보들이 계속해서 공개되었습니다.

2023년 1월, LastPass의 모회사인 GoTo는 2022년 해킹의 영향에 대한 성명을 발표했습니다. GoTo의 성명에 따르면, Central, Hamachi, Pro, Join.me 및 RemotelyAnywhere를 포함한 회사의 다른 여러 서비스도 타사 클라우드 저장소를 통해 공격 대상이 되었다고 밝혔습니다. 공격자들은 이러한 저장소에서 암호화된 백업을 훔쳤습니다. 또한 GoTo는 도난당한 백업 일부에 대한 암호화 키에도 접근한 증거를 발견했다고 밝혔습니다.

2023년 2월, LastPass는 2022년의 첫 번째와 두 번째 해킹 사이에 공격자들이 더욱 악의적인 조치를 취했다는 사실이 밝혀지면서 다시 한번 뉴스 헤드라인을 장식했습니다.

위의 X 게시물에 기록된 바와 같이, 2022년 11월 해커는 소프트웨어 미디어 취약점을 통해 LastPass의 수석 개발자 중 한 명의 가정용 컴퓨터를 손상시켰습니다. 컴퓨터를 해킹한 후 해커는 키로거를 설치하여 개발자가 키보드에 입력하는 모든 내용을 볼 수 있었습니다.

그 결과, 공격자는 개발자의 LastPass 기업 볼트 마스터 비밀번호에 접근할 수 있게 되었고, 이로 인해 볼트 자체에도 접근할 수 있게 되었습니다. 충격적인 사실은, LastPass의 수석 개발자 중 4명만이 회사 볼트에 접근할 수 있었는데도 공격자가 그들 중 한 명을 성공적으로 표적으로 삼았다는 것입니다.

또한 해커는 2022년에 도난당한 사용자 자격 증명을 사용하여 2023년 10월에 440만 달러 상당의 암호화폐를 훔쳤습니다. 공격자는 2022년 두 번째 유출 사고에서 암호화폐 지갑 시드 문구와 키를 확보하여 지갑을 해킹하고 원하는 대로 암호화폐를 인출할 수 있었던 것으로 추정됩니다.

LastPass는 2022년 해킹으로 인해 접근된 데이터의 전체 목록을 제공합니다. 2022년 사고로 인해 노출된 모든 내용을 확인하고 싶으신 분들은 해당 링크를 참조하십시오.

LastPass는 여전히 사용하기에 안전할까요?

LastPass는 2008년부터 서비스를 시작했지만 대부분의 데이터 유출 및 보안 사고는 2020년대에 발생했습니다. 과거의 여러 보안 문제들을 고려할 때, LastPass 사용에 대해 불안감을 느끼는 것은 당연합니다. 그렇다면 현재의 판단은 무엇일까요? LastPass를 계속 사용해도 안전할까요, 아니면 다른 대안을 찾아야 할까요?

간단한 메모 앱이나 유사한 저장 방법보다는 LastPass를 사용하는 것이 더 안전할 수 있지만, 오늘날 더 나은 비밀번호 관리자도 존재합니다. 보안 문제에 대한 우려가 너무 많은 LastPass는 또 다른 유출 사고가 언제 발생할지 알 수 없기 때문에 많은 사람들이 꺼리게 되었습니다. 2022년은 LastPass와 사용자 모두에게 많은 어려움을 안겨주었으므로, 일부 사용자들이 해킹 이력이 없는 비밀번호 관리자를 선택하는 것은 놀라운 일이 아닙니다.

Dashlane과 NordPass는 보안 침해 사고를 겪은 적이 없는 평판 좋은 비밀번호 관리자의 두 가지 예시입니다. 따라서 고객 데이터나 직원 포털이 해커에 노출되지 않은 비밀번호 관리자를 찾는 것이 확실히 가능합니다.

현재 LastPass를 사용 중이지만 다른 서비스로 옮기고 싶다면, LastPass 계정 삭제에 대한 가이드를 확인해 보십시오. 또한 대안 비밀번호 관리자 선택에 도움이 필요한 경우, 가장 안전한 비밀번호 관리자에 대한 가이드도 준비되어 있습니다.

하지만 LastPass의 보안 사고가 LastPass를 완전히 안전하지 않은 비밀번호 관리자로 만드는 것은 아닙니다. 이 앱에는 민감한 자격 증명을 보호하는 데 유용한 기능이 많이 포함되어 있으며, 기술 지식 수준과 상관없이 쉽게 사용할 수 있습니다.

LastPass는 비밀번호 관리의 최고는 아닙니다

LastPass는 일반적으로 안전한 앱이므로 비밀번호를 저장하는 데 사용하는 것은 본질적으로 잘못된 것이 아닙니다. 하지만 중요한 정보를 최대한 안전하게 저장하고 싶다면, 시중에 나와 있는 매우 안전한 다른 대안들도 고려해 볼 가치가 있습니다.