비밀번호 관리자는 모든 로그인 정보를 한 곳에 편리하게 보관할 수 있는 매우 유용한(매우 안전한 것은 말할 것도 없고) 방법입니다. 그렇기 때문에 아직 비밀번호 관리자를 사용하고 있지 않다면 비밀번호 관리자 사용을 시작해야 합니다. 로그인 정보를 스티커 메모에 적거나 컴퓨터의 문서에 저장하거나 휴대폰의 목록에 기록하는 대신 비밀번호 관리자가 귀하를 기억하고 보호해 줍니다. 특히 마지막 부분은 처음에 비밀번호 관리자를 신뢰하는 데 큰 요인입니다. 비밀번호 관리자는 로그인 정보를 저장하는 가장 안전하고 해커 방지 방법이어야 합니다. 하지만 그 신뢰가 깨지면 어떻게 될까요? 해당 비밀번호 관리자를 다시 같은 방식으로 신뢰할 수 있을까요?
LastPass 사용자는 암호 관리자의 약 2천만 명의 개인과 10만 개의 기업 중 일부가 개인 정보를 침해당한 후 물어보지 않을 수 없는 질문입니다. 손상된 데이터에는 LastPass 사용자가 저장한 이름, 이메일 주소, 전화번호 및 웹사이트 URL이 포함되었습니다. LastPass의 “제로 지식” 암호화 모델은 공격자가 고객 로그인을 해독하는 것을 막았지만, 이는 신뢰할 수 있는 비밀번호 관리자를 찾는 사람이나 LastPass에서 다른 옵션으로 데이터를 이동하려는 사람에게 절대적으로 경각심을 불러일으킵니다.
무엇이 잘못되었으며 그것이 여전히 중요한 이유
영국 정보 위원회(Information Commissioner’s Office)는 위반에 대해 LastPass에 120만 파운드(약 160만 달러)의 벌금만 부과했습니다. 하지만 이는 크게 보면 매우 미약한 금액입니다. 실제로 영국에서만 침해로 인해 영향을 받은 사람 160만 명당 1달러도 채 되지 않습니다.
LastPass의 경우 침입이 실제로 두 건의 사건이었습니다. 첫 번째로 해커는 LastPass 직원의 회사 노트북에 접근하여 그런 식으로 회사의 개발 환경에 들어갔습니다. 그러나 그 시점에는 개인 사용자 데이터가 수집되지 않았습니다. 공격자가 타사 스트리밍 서비스의 알려진 약점을 통해 고위 직원을 표적으로 삼은 두 번째 사건에서 상황이 바뀌었습니다. 해커는 악성 코드를 사용하여 직원의 비밀번호를 캡처하고 다단계 인증을 우회한 다음 공격자가 백업 데이터베이스에 접근할 수 있도록 했습니다. 이 경우 별 효과가 없었을 수도 있지만 컴퓨터가 맬웨어에 감염되었을 수 있다는 징후에 항상 주의를 기울이는 것이 좋습니다.
보안 전문가들은 이 사건이 단 하나의 치명적인 오류로 인한 것이 아니라 궁극적으로 해커가 LastPass 백업 데이터베이스에 액세스할 수 있게 하는 보안 실패의 조합이라고 말했습니다. 그러나 그러한 변명은 LastPass의 사례에 그다지 도움이 되지 않습니다. 결국, 시스템상의 결함은 하루, 일주일, 한 달, 심지어 일 년 만에 취소할 수 있는 것이 아닙니다. 실질적으로 처음부터 철저한 점검이 필요합니다. 그리고 2022년에 이런 일이 발생하면서(그리고 벌금은 2025년 12월에만 부과됨), 그 이후로 보안을 강화하기 위해 실제로 얼마나 많은 작업이 이루어졌는지 궁금합니다.
