보안

라스트패스 해킹 당해...마스터 비밀번호 당장 변경해야

Blair Hanley Frank | IDG News Service 2015.06.16
비밀번호 관리 프로그램인 라스트패스를 사용하고 있다면 지금 당장 마스터 비밀번호를 변경하는 것이 좋다. 라스트패스는 지난 12일(현지 시각) 자사의 네트워크가 해킹당했다고 밝혔다.

라스트패스는 사내 보안팀이 의심스러운 활동을 탐지한 이후 15일 블로그를 통해 해당 소식을 전했다. 라스트패스에 따르면, 해커가 사용자의 암호화된 데이터를 훔치거나 라스트패스 사용자 계정에 접근한 정황을 발견하지 못했다고 밝혔다. 라스트패스 계정에 이용되는 이메일 주소와 마스터비밀번호 힌트, 사용자 솔트(Salt, 랜덤으로 생성한 코드)와 인증 해시만 해킹당한 것으로 알려졌다.

솔트와 인증 해시 데이터는 약하게 만들어진 마스터 비밀번호를 손쉽게 알아낼 수 있도록 할 수 있으나, 라스트패스의 CEO인 조 시그리스트는 라스트패스의 보호(서버쪽에 PBKDF2-SHA256를 10만 번 적용) 시스템은 훔쳐낸 해시를 공격하기 어렵게 만들 것이라고 밝혔다.

이와 같은 이유로 라스트패스 사용자는 새로운 마스터 비밀번호를 설정할 필요가 있으며, 새로운 기기나 IP 주소에서 자신의 계정에 로그인할 경우 2단계 인증을 설정하지 않더라도 이메일을 통해 로그인을 검증하는 것을 추천한다.

라스트패스는 여러 사이트에 로그인하는 ID와 비밀번호를 저장해서 자동으로 로그인하는 프로그램으로, 사용자는 각각의 로그인 정보를 기억하지 않아도 된다는 이점이 있다. 복잡한 문자열을 이용해서 강력한 비밀번호도 생성할 수 있으며 라스트패스의 마스터 비밀번호만 기억하면 된다. 이 점에서 봤을 때 라스트패스가 안전하게 보호되어야 모든 사이트의 보안 또한 보장할 수 있다.

특히 2단어를 조합한 문자열이나 전화번호를 마스터 비밀번호로 사용한 경우에는 비밀번호가 해킹당할 가능성이 크다. 다른 사이트 계정 정보를 보호하기 위해서라도 라스트패스 마스터 비밀번호를 사용한 다른 사이트의 비밀번호도 함께 변경하는 편이 좋다.

라스트패스가 해킹당한 사건은 이번이 처음이 아니다. 지난 2011년 해킹당한 사실을 인지한 라스트패스는 즉시 해커들의 해킹 공격에서의 방어력을 높이기 위해 비밀번호를 저장하는 방식을 강화한 바 있다.

라스트패스는 로그인 정보와 다른 중요한 정보를 보호하고자 하는 사용자들에게 무료로 서비스를 제공한다는 점에서 오늘날 가장 많이 애용되는 비밀번호 관리자 중 하나다. 한편, 이번 사건으로 얼마나 많은 사용자의 정보가 유출되었는지에 대해서는 밝혀지지 않았다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.