2015.06.17

글로벌 칼럼 | 또다시 고객 정보를 유출한 라스트패스

Dave Lewis | CSO
프랑스 취리히 공항에 머무는 동안 비밀번호 관리자 서비스를 하는 라스트패스(Lastpass)가 곤란한 상황에 처했다는 사실을 접하게 됐다. 이번주 베를린에서 열리는 연례 퍼스트 컨퍼런스(First Conference)에 참여하고 있는 동안 이와 같은 일이 발생했다. 라스트패스는 지난 15일(현지 시각) 데이터 유출을 겪은 수많은 기업 중 하나라는 불명예를 안게 됐다고 말했다.

지난 12일 라스트패스의 네트워크에는 의심스러운 활동이 포착됐다. 이 활동으로 인해 사용자의 이메일 주소, 비밀번호 힌트와 솔트(salt), 인증 해시가 노출됐다. 라스트패스는 사용자 계정에는 액세스하는 그 어떤 시도도 이루어지지 않았다고 말했다. 그러나 이러한 의심스러운 트래픽이 언제부터 감지되었는지에 대해서는 언급되지 않았다.

알다시피 라스트패스는 모든 계정의 아이디와 비밀번호를 저장해서 관리하는 중앙집중형 저장소를 제공한다. 사용자 계정 로그인을 요구하는 웹사이트 로그인 과정을 간소화해주기도 한다. 1패스워드(1Pasword)와 키패스(Keepass)와 비교해서도 무척 유용한 애플리케이션인데 , 이들 서비스보다는 정보 유출 시 크게 문제가 될 수 있다.

라스트패스는 암호화된 데이터는 유출되지 않았다고 밝혔다.

“라스트패스의 암호화 도구는 수많은 사용자를 보호하기에 충분하다고 자신한다. 라스트패스는 랜덤 솔트와 서버 단에서 PBKF2-SHA256을 10만 번 반복함으로써 인증 해시를 강화했다. 게다가 클라이언트 단에서도 10만 번 시행된다. 이러한 추가적인 조치는 그 어떤 빠른 속도라도 훔친 해시로만 복호화하는 것은 어렵다.”(블로그 발췌)

물론 데이터 유출 사건은 안타까운 일이지만, 몇가지 좋은 소식도 있다. 유출 사건이 일어났다고 알렸다는 점에서 상당히 인상적이다. 잠시 몇 가지를 생각해보자. 라스트패스는 지난 12일에 자사 네트워크에 의심스러운 트래픽이 발견했으며, 그 후 3일 뒤인 15일에 바로 블로그 및 이메일을 통해 유출 소실을 알렸다. 물론 네트워크 백도어를 미리 차단하지 못하고 관리하지 못한 라스트패스에 하루 종일 돌 던지느라 바쁜 사람들도 있겠지만, 정보 유출 감지를 사용자에게 고지했기 때문에 턴어라운드(turn around) 측면에서 인상 깊다.

과거와는 다른 방식의 대응 방식에 라스트패스를 신뢰할 수 있었던 것 같다. 지난 2011년 라스트패스는 이와 비슷한 데이터 유출 사건을 겪었다.

그 당시 라스트패스는 고객에게 마스터 비빌번호를 바꾸길 권고했으며, 불행히 이는 부정적인 결과를 초래했다. 라스트패스는 “현재 우리는 고객 지원 업무로 마비에 걸릴 지경이며, 비밀번호 변경과 같은 부하는 우리의 서비스를 느리게 만들고 있다. 현재 라스트패스는 사용자가 이메일로 액세스 여부를 확인할 수 있는 수단을 구현했으며, 지금 IP에서는 비밀번호를 바꾸지 말길 바란다. 다른 IP에서 액세스를 시도하면 확인 이메일이 도달할 것이다. 만약 보안성이 손실되지 않은 IP에 있다면 며칠 기다리면 된다. 이와 같은 과도한 로딩때문에 기다려야 하는 시간이 길어진다”고 단서를 달았다. 아마도 라스트패스트는 지난 과오로부터 무엇인가를 배운 것이라는 희망을 보았다.

필자는 비밀번호 관리자 애플리케이션을 옹호하는 입장이지만, 사실 라스트패스를 사용하지는 않는다. 다시 한 번 말하지만 100% 완벽한 보안을 보장하는 솔루션은 없다고 보기 때문이다. 내 비밀번호 관리자의 마스터 비밀번호를 자주 바꾸지 않는 편이다. 이들 서비스는 사용자가 언제 자신의 비밀번호를 가장 마지막으로 업데이트했는지 고지할 수 있는 수단을 제공해야 한다.

라스트패스는 인증 및 보안 분야의 법률 전문가와 조사 중이라고 밝혔으나, 어떤 이들이 참여할지에 대해서는 알려지지 않았다. 라스트패스는 블로그에 소식을 게재하면서 동시에 사용자 이메일을 통해 이와 같은 소식을 고지하겠다고 밝혔다. 이어 라스트패스는 마스터 비밀번호를 변경하지 않은 사용자가 있으면 즉시 바꾸는 것을 권고했다.

데이터 유출 사건은 정말 안타까운 일이지만, 그렇다고 해서 중요한 것을 쓸데없는 것과 함께 버려야 한다는 의미는 아니다. 비밀번호 관리자와 같은 도구를 사용하는 것은 아직은 컴퓨터 모니터 앞에 포스트 잇에 비밀번호를 써붙여놓는 것보다는 훨씬 더 안전하기 때문이다. editor@itworld.co.kr 


2015.06.17

글로벌 칼럼 | 또다시 고객 정보를 유출한 라스트패스

Dave Lewis | CSO
프랑스 취리히 공항에 머무는 동안 비밀번호 관리자 서비스를 하는 라스트패스(Lastpass)가 곤란한 상황에 처했다는 사실을 접하게 됐다. 이번주 베를린에서 열리는 연례 퍼스트 컨퍼런스(First Conference)에 참여하고 있는 동안 이와 같은 일이 발생했다. 라스트패스는 지난 15일(현지 시각) 데이터 유출을 겪은 수많은 기업 중 하나라는 불명예를 안게 됐다고 말했다.

지난 12일 라스트패스의 네트워크에는 의심스러운 활동이 포착됐다. 이 활동으로 인해 사용자의 이메일 주소, 비밀번호 힌트와 솔트(salt), 인증 해시가 노출됐다. 라스트패스는 사용자 계정에는 액세스하는 그 어떤 시도도 이루어지지 않았다고 말했다. 그러나 이러한 의심스러운 트래픽이 언제부터 감지되었는지에 대해서는 언급되지 않았다.

알다시피 라스트패스는 모든 계정의 아이디와 비밀번호를 저장해서 관리하는 중앙집중형 저장소를 제공한다. 사용자 계정 로그인을 요구하는 웹사이트 로그인 과정을 간소화해주기도 한다. 1패스워드(1Pasword)와 키패스(Keepass)와 비교해서도 무척 유용한 애플리케이션인데 , 이들 서비스보다는 정보 유출 시 크게 문제가 될 수 있다.

라스트패스는 암호화된 데이터는 유출되지 않았다고 밝혔다.

“라스트패스의 암호화 도구는 수많은 사용자를 보호하기에 충분하다고 자신한다. 라스트패스는 랜덤 솔트와 서버 단에서 PBKF2-SHA256을 10만 번 반복함으로써 인증 해시를 강화했다. 게다가 클라이언트 단에서도 10만 번 시행된다. 이러한 추가적인 조치는 그 어떤 빠른 속도라도 훔친 해시로만 복호화하는 것은 어렵다.”(블로그 발췌)

물론 데이터 유출 사건은 안타까운 일이지만, 몇가지 좋은 소식도 있다. 유출 사건이 일어났다고 알렸다는 점에서 상당히 인상적이다. 잠시 몇 가지를 생각해보자. 라스트패스는 지난 12일에 자사 네트워크에 의심스러운 트래픽이 발견했으며, 그 후 3일 뒤인 15일에 바로 블로그 및 이메일을 통해 유출 소실을 알렸다. 물론 네트워크 백도어를 미리 차단하지 못하고 관리하지 못한 라스트패스에 하루 종일 돌 던지느라 바쁜 사람들도 있겠지만, 정보 유출 감지를 사용자에게 고지했기 때문에 턴어라운드(turn around) 측면에서 인상 깊다.

과거와는 다른 방식의 대응 방식에 라스트패스를 신뢰할 수 있었던 것 같다. 지난 2011년 라스트패스는 이와 비슷한 데이터 유출 사건을 겪었다.

그 당시 라스트패스는 고객에게 마스터 비빌번호를 바꾸길 권고했으며, 불행히 이는 부정적인 결과를 초래했다. 라스트패스는 “현재 우리는 고객 지원 업무로 마비에 걸릴 지경이며, 비밀번호 변경과 같은 부하는 우리의 서비스를 느리게 만들고 있다. 현재 라스트패스는 사용자가 이메일로 액세스 여부를 확인할 수 있는 수단을 구현했으며, 지금 IP에서는 비밀번호를 바꾸지 말길 바란다. 다른 IP에서 액세스를 시도하면 확인 이메일이 도달할 것이다. 만약 보안성이 손실되지 않은 IP에 있다면 며칠 기다리면 된다. 이와 같은 과도한 로딩때문에 기다려야 하는 시간이 길어진다”고 단서를 달았다. 아마도 라스트패스트는 지난 과오로부터 무엇인가를 배운 것이라는 희망을 보았다.

필자는 비밀번호 관리자 애플리케이션을 옹호하는 입장이지만, 사실 라스트패스를 사용하지는 않는다. 다시 한 번 말하지만 100% 완벽한 보안을 보장하는 솔루션은 없다고 보기 때문이다. 내 비밀번호 관리자의 마스터 비밀번호를 자주 바꾸지 않는 편이다. 이들 서비스는 사용자가 언제 자신의 비밀번호를 가장 마지막으로 업데이트했는지 고지할 수 있는 수단을 제공해야 한다.

라스트패스는 인증 및 보안 분야의 법률 전문가와 조사 중이라고 밝혔으나, 어떤 이들이 참여할지에 대해서는 알려지지 않았다. 라스트패스는 블로그에 소식을 게재하면서 동시에 사용자 이메일을 통해 이와 같은 소식을 고지하겠다고 밝혔다. 이어 라스트패스는 마스터 비밀번호를 변경하지 않은 사용자가 있으면 즉시 바꾸는 것을 권고했다.

데이터 유출 사건은 정말 안타까운 일이지만, 그렇다고 해서 중요한 것을 쓸데없는 것과 함께 버려야 한다는 의미는 아니다. 비밀번호 관리자와 같은 도구를 사용하는 것은 아직은 컴퓨터 모니터 앞에 포스트 잇에 비밀번호를 써붙여놓는 것보다는 훨씬 더 안전하기 때문이다. editor@itworld.co.kr 


X