2023년 9월, KrebsOnSecurity는 보안 전문가들이 실시한 조사 결과를 발표했습니다. 이 조사는 수십 명의 피해자들에게 수십만 달러의 피해를 입힌 일련의 사이버 범죄가 2022년 LastPass의 해킹으로 인해 도난당한 마스터 비밀번호를 악용한 결과임을 밝혀냈습니다. 미 연방수사국(FBI)의 발표는 이 공격으로 인한 피해 규모에 대한 많은 전문가들의 우려를 확인시켜주는 동시에, 비밀번호 관리 서비스 사용과 관련된 심각한 위협을 강조합니다.
2022년 8월에 발생한 LastPass 해킹은 초기에는 그 규모가 제한적인 것으로 보였습니다. 당시 LastPass는 일부 개발자 데이터의 유출을 인정했지만, 사용자들의 마스터 비밀번호는 안전하다고 주장했습니다. 그러나 후속 조사 결과 이러한 주장은 사실이 아닌 것으로 드러났습니다. 공격자들은 사용자 데이터의 암호화된 저장소에 접근하여 마스터 비밀번호를 포함한 개인 정보를 획득했습니다. 비밀번호 자체는 암호화되었지만, 암호화 방식에 취약점이 존재했고, 이를 통해 공격자들은 저장소를 해독하여 사용자 개인 정보에 접근할 수 있었습니다.
이러한 사이버 범죄로 인한 추산 피해액은 1억 5천만 달러에 달합니다. 이는 충격적인 규모이며, 은행 계좌, 투자 및 기타 귀중한 자산에 대한 접근 권한을 상실한 피해자들의 재정적 손실을 보여줍니다. 모든 피해자가 확인되거나 피해를 신고하지 않을 수 있으므로, 실제 피해 규모는 이보다 더 클 수도 있습니다.
FBI의 조사에 따르면, 공격자들은 탈취한 마스터 비밀번호를 사용하여 다양한 금융 기관 및 기타 온라인 서비스의 사용자 계정에 접근했습니다. 이는 여러 계정에 동일한 마스터 비밀번호를 사용하는 위험성을 보여줍니다. 하나의 서비스가 해킹을 당하면 다른 모든 서비스도 위험에 처할 수 있습니다.
보안 권고 사항
이러한 사건을 고려하여 온라인 보안 전략을 재검토하는 것이 매우 중요합니다. 몇 가지 주요 권고 사항은 다음과 같습니다.
- 각 계정에 고유하고 복잡한 비밀번호를 사용하십시오. 절대로 여러 서비스에 동일한 비밀번호를 사용하지 마십시오. 안전한 비밀번호 생성 및 관리를 위한 편리한 도구로 비밀번호 관리자를 사용할 수 있지만, 검증되고 신뢰할 수 있는 서비스만 선택해야 합니다.
- 가능한 모든 곳에서 2단계 인증(2FA)을 활성화하십시오. 비밀번호가 유출되더라도 2FA는 추가적인 보안 계층을 제공합니다.
- 정기적으로 소프트웨어를 업데이트하십시오. 오래된 소프트웨어에는 공격자가 사용자의 기기와 계정을 해킹하는 데 악용할 수 있는 취약점이 포함되어 있습니다. 모든 기기에서 소프트웨어 자동 업데이트를 설정해야 합니다.
- 피싱 공격에 주의하십시오. 피싱 이메일과 메시지는 설득력 있게 보일 수 있지만, 종종 악성 링크나 첨부 파일을 포함하고 있습니다. 의심스러운 이메일과 메시지는 열지 마십시오. 그리고 검증되지 않은 웹사이트에서 비밀번호를 입력하지 마십시오.
- 은행 계좌와 신용 보고서를 모니터링하십시오. 정기적으로 금융 계좌에서 평소와 다른 활동이 있는지 확인하십시오. 의심스러운 거래가 발견되면 즉시 은행이나 신용 카드 회사에 문의하십시오.
LastPass 사례는 가장 안전한 서비스라도 사이버 공격의 피해자가 될 수 있음을 보여주는 암울한 사례입니다. 따라서 기본적인 사이버 보안 규칙 준수는 데이터와 재정을 보호하기 위한 단순한 권장 사항이 아니라 필수적인 요소입니다.
| 취약성 | 결과 | 예방 조치 |
|---|---|---|
| 마스터 비밀번호 유출 | 계정 및 금융 자산 접근 | 고유하고 복잡한 비밀번호 사용, 2FA |
| 피싱 공격 | 개인 정보 및 비밀번호 도난 | 이메일 및 메시지 열람 시 주의, 링크 확인 |
| 오래된 소프트웨어 | 보안 시스템 취약성 | 정기적인 소프트웨어 업데이트 |
“사이버 보안은 지속적인 관심과 지식 업데이트를 필요로 하는 지속적인 과정임을 이해해야 합니다.” — 사이버 보안 전문가
