2022년 LastPass 해킹 사건과 관련하여 1억 5천만 달러(약 2,000억원)에 달하는 대규모 사이버 절도 사건이 발생하여 전 세계적으로 충격을 주고 있습니다. KrebsOnSecurity의 2023년 9월 보도에 따르면, 수십 명의 피해자에게 수십만 달러의 피해를 입힌 일련의 사이버 범죄가 2022년 LastPass 해킹과 직접적인 연관이 있는 것으로 밝혀졌습니다. 미 연방수사국(FBI)은 이 사건의 피해 규모를 무려 1억 5천만 달러로 추산하고 있습니다. 이번 사건은 그 규모와 파장에서 할리우드 블록버스터 영화를 방불케 할 정도로 심각한 수준입니다.
1억 5천만 달러 규모의 사이버 절도, 그 수법은?
사건의 핵심은 LastPass 사용자들의 마스터 패스워드에 있습니다. LastPass는 사용자들의 웹사이트 및 서비스 접속 비밀번호를 암호화하여 저장하지만, 이 암호화된 데이터에 접근하는 데 사용되는 마스터 패스워드 자체는 취약점을 노출했습니다. 해커들은 사용자들의 마스터 패스워드를 해독하는 데 필요한 솔트(salt) 및 기타 암호화 키에 접근하여 상당수의 마스터 패스워드를 해킹한 것으로 추정됩니다. 마스터 패스워드를 획득한 해커들은 이를 이용하여 피해자들의 은행 계좌, 투자 플랫폼, 기타 금융 계정 등 다양한 온라인 서비스에 접근하여 수백만 달러의 자금을 탈취했습니다. FBI는 LastPass 해킹과 이 대규모 사이버 범죄 사이의 연관성을 공식적으로 확인했습니다.
사용자들에게 주는 시사점
이 사건은 패스워드 관리자를 사용하는 모든 사용자들에게 심각한 경고를 주는 사례입니다. 아무리 안전한 서비스라 할지라도 100%의 보안을 보장할 수 없다는 점을 명심해야 합니다. 따라서 다음과 같은 추가적인 예방 조치가 필수적입니다.
- 각 패스워드 관리자마다 고유하고 복잡한 마스터 패스워드 사용
- 마스터 패스워드의 정기적인 업데이트
- 가능한 모든 곳에서 2단계 인증(2FA) 활성화
- 은행 계좌 및 온라인 계정의 모니터링을 통한 이상 활동 감지
이 사건은 또한 데이터 보안의 중요성을 강조합니다. 개인 정보를 보관하는 기업은 사이버 공격으로부터 시스템을 보호하기 위해 상당한 자원을 투자해야 합니다. 해킹의 결과는 기업과 고객 모두에게 치명적일 수 있습니다. 현재도 조사가 진행 중이며 추가적인 사실들이 밝혀질 것으로 예상됩니다. 하지만 이 사건은 이미 사이버 보안 역사에 중요한 사례로 기록될 것이며, 디지털 시대의 끊임없이 증가하는 위협을 상기시켜 줍니다. 항상 경계하고 자신의 데이터를 보호하십시오. 여러분의 재산과 개인 정보가 위험에 처해 있음을 기억하십시오.
