만약 LastPass를 사용하고 있다면, 보안 점검을 받아야 합니다. 이 점검은 저장소 내에서 취약하거나, 재사용되었거나, 오래된 비밀번호를 찾아내고, 변경해야 할 비밀번호를 추천합니다. 또한, LastPass는 보안 수준을 수치화한 점수도 제공합니다.
다른 비밀번호 관리자들도 유사한 기능을 제공할 수 있습니다. 예를 들어, 1Password에는 와치타워(Watchtower) 기능이 있어, 취약하거나 재사용된 비밀번호와 같은 문제점을 파악하고 개선할 것을 권장합니다.
보안 문제 해결 방법
LastPass 사용자라면, 브라우저 확장 프로그램, 웹사이트, 또는 모바일 앱을 통해 보안 점검 기능에 접근할 수 있습니다.
웹 브라우저에서는 LastPass 확장 프로그램 아이콘을 클릭하고, 계정 옵션에서 ‘보안 점검’을 선택합니다. LastPass 웹사이트에서는 볼트 화면 좌측 하단에 있는 ‘Security Challenge’를 클릭합니다. 모바일 앱에서는 ‘보안’ 탭을 선택한 후 ‘보안 점검’을 탭합니다.
LastPass는 개선할 부분을 분석하기 전에 마스터 비밀번호를 입력하라는 메시지를 표시합니다.
마스터 비밀번호 점수 향상
마스터 비밀번호 점수는 마스터 비밀번호의 ‘복잡성과 길이’를 평가합니다. 또한, 마스터 비밀번호가 볼트 내 다른 비밀번호와 동일한 경우, 즉 다른 웹사이트에서 재사용된 경우 경고합니다. 마스터 비밀번호는 절대 재사용해서는 안 되며, 고유해야 합니다. LastPass는 보안 점검을 시작할 때 마스터 비밀번호가 볼트 내 항목과 일치하면 경고 메시지를 표시합니다.
마스터 비밀번호 점수를 높이려면 더 길고 강력한 비밀번호로 변경하고, 볼트 내 다른 웹사이트 비밀번호와 겹치지 않는지 확인해야 합니다. 강력한 마스터 비밀번호는 다른 모든 비밀번호를 보호하는 핵심입니다. LastPass에서는 강력한 마스터 비밀번호 생성 방법에 대한 안내를 제공합니다.
2FA 활성화로 점수 10% 향상
점수를 쉽게 올리는 방법 중 하나는 다단계 인증을 활성화하는 것입니다. 이를 통해 보안 점수를 10% 높일 수 있습니다. 다단계 인증은 LastPass 계정을 무단 접근으로부터 보호합니다. 마스터 비밀번호가 유출되더라도, 본인이 소지한 코드나 물리적 키 없이는 로그인할 수 없습니다.
LastPass 볼트에서 ‘계정 설정’을 선택하고 ‘다단계 옵션’을 클릭하세요. LastPass Authenticator, Google Authenticator, Microsoft Authenticator 등 다양한 무료 옵션을 사용할 수 있습니다. LastPass Authenticator를 사용하면 로그인 시 휴대폰으로 푸시 알림을 받아 빠르게 승인할 수 있어 편리합니다.
손상된, 취약한, 재사용된, 오래된 비밀번호
‘점수 향상’ 섹션에서 LastPass 보안 점검은 변경해야 할 비밀번호를 추천합니다. 비밀번호는 손상된 비밀번호, 취약한 비밀번호, 재사용된 비밀번호, 오래된 비밀번호의 네 가지 유형으로 분류됩니다. 오래된 비밀번호는 가장 덜 중요한 문제로, LastPass가 경고하는 우선순위가 가장 낮습니다.
손상된 비밀번호: 반드시 변경해야 합니다. LastPass에 따르면, 이러한 비밀번호는 “웹상에서 발생한 데이터 유출 사고로 인해 위험에 노출되어 있습니다.” LastPass는 웹사이트에서 유출 사고가 발생한 시점을 추적하고, 문제가 발생한 이후 비밀번호를 변경하지 않았다면 해당 웹사이트의 비밀번호를 변경하도록 권장합니다.
취약한 비밀번호: 취약한 비밀번호는 추측하기 쉬운 비밀번호입니다. 예를 들어, ‘password’ 또는 ‘letmein’과 같은 비밀번호로 웹사이트에 로그인하면 LastPass는 해당 비밀번호를 취약한 비밀번호로 표시하고 변경을 권장합니다. LastPass는 강력한 비밀번호를 자동으로 생성하고 기억할 수 있으므로 이를 적극적으로 활용해야 합니다.
재사용된 비밀번호: 비밀번호를 재사용하는 것은 매우 위험합니다. 한 웹사이트에서 유출되면 다른 웹사이트도 위험에 처할 수 있기 때문입니다. 예를 들어, 사용자의 이메일 주소가 ‘[email protected]’이고 비밀번호가 ‘password’인 계정을 여러 사이트에서 사용한다고 가정해 봅시다. 만약 한 사이트에서 유출 사고가 발생하여 정보가 노출되면, 해커는 해당 이메일 주소와 비밀번호를 사용하여 다른 사이트에도 접근할 수 있습니다. LastPass와 같은 비밀번호 관리자는 강력한 비밀번호를 자동으로 생성하고 기억하여 이러한 위험으로부터 사용자를 보호합니다. LastPass에서 동일한 비밀번호를 둘 이상의 웹사이트에서 재사용하지 않는지 확인해야 합니다.
오래된 비밀번호: LastPass는 또한 보안을 위해 오래된 비밀번호를 변경하도록 권장합니다. 이는 보안 점검에서 우선순위가 가장 낮은 사항입니다. 시간이 있다면 웹사이트 비밀번호를 변경하는 것이 좋습니다. 특히 LastPass에서 자동으로 생성하지 않은 이전 비밀번호이거나, 온라인 뱅킹과 같은 중요한 계정의 비밀번호인 경우 더욱 그렇습니다. 그러나 은행 계좌처럼 특별히 보호하고 싶은 중요한 계좌가 아니라면 이 섹션은 건너뛰어도 괜찮습니다. 오래된 비밀번호가 있다고 해서 수백 개의 비밀번호를 모두 변경할 필요는 없습니다. 어쨌든 오래된 비밀번호는 점수에 큰 영향을 미치지 않습니다.
‘전체’ 섹션까지 아래로 스크롤하면 가장 취약한 비밀번호부터 강력한 비밀번호 순으로 정렬된 웹사이트 목록을 볼 수 있습니다.
더 높은 점수를 위해 재확인
LastPass가 지적한 몇 가지 문제를 해결한 후에는 LastPass 보안 점검을 다시 실행하여 더 높은 점수를 받을 수 있습니다. 웹 페이지를 새로 고침하고 마스터 비밀번호를 다시 입력하면 LastPass가 재검사를 수행합니다.
지속적으로 점수를 향상시키면 LastPass 사용자 중 상위 1%에 도달할 수도 있습니다. 물론, 계정이 안전하다는 안도감 외에는 특별한 보상은 없습니다.
점수에 너무 집착하지 말자
결론적으로, 보안 점검 점수는 계정 보안을 개선하도록 독려하기 위한 수치일 뿐입니다. LastPass는 볼트와 모바일 앱에 이 점수를 표시하지만, 이는 근사치에 불과합니다.
예를 들어, LastPass는 다음 항목에 대해 점수를 감점한다고 언급합니다.
오프라인 접근을 허용하면 1점이 감점되고, 무제한 모바일 장치가 볼트에 접근하도록 허용하면 또 다른 점수가 감점되며, 다단계 인증을 우회할 수 있는 신뢰할 수 있는 장치가 있다면 마지막 점수가 감점됩니다.
물론 볼트의 오프라인 접근을 제한하고, 같은 기기로 로그인할 때마다 다단계 인증을 강제하여 점수를 높일 수는 있지만, 이것이 꼭 좋은 방법일까요? 신뢰할 수 있는 기기에서 오프라인 접근을 허용하고 이중 인증을 건너뛰는 것이 보안상 위험하지 않을 수 있습니다. 또한 와이파이나 셀룰러 데이터 신호가 없을 때도 휴대폰에서 LastPass 볼트에 접근할 수 있어 편리합니다. 점수 자체에 너무 연연하여 설정을 변경해야 한다는 압박감을 느낄 필요는 없습니다.
자세한 내용은 LastPass 보안 점검 가이드를 참조하십시오.