패스워드를 지키는 금고가 털렸습니다
패스워드 매니저는 수십, 수백 개의 비밀번호를 안전하게 보관하는 "디지털 금고"입니다. 그런데 그 금고 자체가 뚫리면 어떻게 될까요?
2022년 8월, 세계 최대 패스워드 매니저 중 하나인 LastPass가 침해당했습니다. 공격자는 개발자의 개인 컴퓨터에서 자격증명을 탈취해 내부 시스템에 접근했고, 최종적으로 2,500만 사용자의 암호화된 비밀번호 볼트(vault)를 복사해 갔습니다.
침해 타임라인
| 시점 | 사건 | |------|------| | 2022.08 | 개발자 환경 최초 침투 | | 2022.11 | 클라우드 스토리지 접근, 볼트 데이터 복사 | | 2022.12 | LastPass 공식 발표 | | 2023-2024 | 취약한 마스터 패스워드 볼트 크래킹 시작 | | 2025 | 탈취된 자격증명 활용 암호화폐 도난 $150M+ |
왜 피해가 계속되고 있는가
LastPass는 볼트가 AES-256 암호화로 보호되어 있으며, 강한 마스터 패스워드를 사용했다면 안전하다고 밝혔습니다.
문제는 모든 사용자가 강한 마스터 패스워드를 사용한 것은 아니라는 점입니다. 보안 연구원 Brian Krebs의 분석에 따르면, 2023년부터 LastPass 볼트에서 크래킹된 자격증명을 이용한 암호화폐 도난이 이어지고 있으며, 2025년까지 피해 총액은 1.5억 달러를 넘어섰습니다.
교훈
- 마스터 패스워드의 중요성 — 최소 16자, 무작위 문자 조합 필수
- PBKDF2 반복 횟수 — 60만 회 이상 설정 (기본값이 낮은 경우 변경)
- 오프라인 볼트 — 클라우드 동기화의 위험성 인지
- 패스워드 매니저 분산 — 핵심 자격증명은 별도 관리 고려
올바른 패스워드 매니저 사용법
- 마스터 패스워드는 다른 곳에서 사용하지 않은 고유한 16자 이상 문구
- 하드웨어 키(YubiKey) 등 MFA 활성화
- 정기적으로 마스터 패스워드 변경
- 금융·암호화폐 자격증명은 별도 보관 고려
- 패스워드 매니저 자체의 보안 업데이트 확인