마스터키 하나로 온갖 비밀번호를 관리하는 ‘라스트패스’가 해킹당했다.

Lastpasslogo
▲ Lastpasslogo

라스트패스는 지난 6월12일(현지시각) "내부 네트워크에서 의심스러운 활동을 발견하고 차단했다”라며 자체 조사결과 다음과 같은 정보가 유출됐다고 15일 발표했다. 유출된 정보는 라스트패스에 가입할 때 쓴 e메일 주소, 비밀번호 힌트, 사용자 비밀번호를 알아내기 어렵게 변용하는 서버, 인증 해시값 등이다. 암호화된 사용자 비밀번호 묶음기나 라스트패스 사용자 계정은 공격당하지 않았다고 라스트패스는 밝혔다.

라스트패스는 수많은 웹사이트와 서비스에 쓰는 비밀번호를 미리 입력해두고 마스터키 같은 라스트패스 계정으로 로그인해 접속하게 해주는 비밀번호 관리 프로그램이다. 이스트소프트가 만든 '알패스'와 비슷한 기능을 한다. 비밀번호를 보관하는 서비스가 해킹당했다니 불안할 수도 있겠다. 라스트패스는 해커가 가져간 비밀번호 묶음이 강력한 암호화 기술로 잠가뒀기 때문에 안심해도 된다고 설명했다.

“우리 암호화 기법이 대다수 사용자를 보호하기에 충분하다고 자신합니다. 라스트패스는 무작위 솔트(salt)값을 덧분인 인증 해시값과 서버단에서 PBKDF2-SHA256 알고리즘을 10만번 적용해 안전성을 강솨합니다. 사용자 장비에서 적용하는 암호화 작업도 병행하지요. 이런 추가 보호대책 때문에 훔쳐간 해시값을 한동안 활용하기 힘들 겁니다."

당장 사용자에게 피해가 생기지는 않을 것으로 보이지만 라스트패스는 예방책을 강구하라고 권했다. 기존에 사용하던 기기로만 라스트패스를 사용하고, 라스트패스 마스터키와 같은 비밀번호를 쓰는 웹사이트가 있다면 비밀번호를 바꾸라고 권유했다. 사용자 정보가 유출되지 않았기 때문에 당장 라스트패스 마스터키를 바꾸지는 않아도 된다. 다만 만약의 사태에 대비해 다중 인증 기능을 켜두면 좋다.

저작권자 © 블로터 무단전재 및 재배포 금지