여러 웹사이트에서 사용 중인 비밀번호를 한번에 모아서 안전하게 관리해주는 서비스를 제공해 온 '라스트패스'가 해킹에 노출되는 사건이 발생했다.
15일(현지시간) 미국 지디넷 등 외신에 따르면 사용자들이 쓰고 있는 여러 개의 비밀번호를 클라우드 기반 환경에서 안전하게 관리하는 서비스가 해킹된 것이다.
조 지그리스트 라스트패스 최고경영자(CEO)는 최근 블로그를 통해 사용자들의 계정 접속에 필요한 이메일 주소, 비밀번호 리마인더, 사용자 솔트값 당 배정된 서버, 인증 관련 해시값 등을 노린 공격에 노출됐다고 설명했다. 그러나 지그리스트 CEO는 "아직 암호화된 사용자의 비밀번호를 탈취했다거나 이를 악용해 라스트패스 사용자 계정에 접속한 사례는 확인되지 않았다"고 설명했다.
그는 자사에서 사용한 암호화 방법이 대다수 사용자들을 보호하는데 충분하다고 본다고 밝혔다. 라스트패스는 인증을 위한 해시값을 임의로 생성된 솔트값, PBKDF2-SHA256 암호화 알고리즘 등을 사용해 보호하고 있기 때문에 만약 공격자들이 해시값을 훔쳐간다고 해도 실제 비밀번호를 알아내기는 상당히 어렵다고 강조했다.
PBKDF2-SHA256은 기존 비밀번호의 보안성을 강화하기 위한 알고리즘으로 여러 다른 웹사이트 접속에 필요한 비밀번호를 알 수 있는 라스트패스 마스터 비밀번호를 사용해 비밀번호를 일일이 대입하는 방식의 '무차별 대입공격'으로부터 해킹될 가능성을 낮춘다. 또한 자신이 사용 중인 PC나 다른 기기들을 일종의 암호화키로 활용하는 투팩터 인증을 통해 마스터 비밀번호를 쓸 수 있게 하고 있다.
그러나 이러한 조치들만으로는 충분치 않았던 것으로 보인다. 여전히 마스터 비밀번호 조차 쉽게 알아낼 수 있는 단어나 숫자로 이뤄져 보안성이 약한 비밀번호를 쓰는 경우들이 발견되고 있기 때문이다.
라스트패스는 이와 함께 모든 사용자들이 새로운 기기나 IP주소를 통해 라스트패스 계정 접속을 시도할 때는 이메일 확인을 통한 최초인증을 추가로 거치도록 했다.
관련기사
- 야후, 복잡한 비번 몰라도 로그인 OK2015.06.16
- 비밀번호, 의미 담은 긴 단어가 최상2015.06.16
- 지문·눈동자로 로그인? "ID·비밀번호는 그만 외워라"2015.06.16
- 주민등록증, 56년만에 모바일 시대 활짝…"휴대폰만 있으면 OK"2024.11.26
문제는 라스트패스가 지난주 금요일 공격됐다는 사실을 파악했는데도 불구하고, 월요일까지 사용자들에게 아무런 공지도 하지 않았었다는 점이다. 앞서 2011년에도 라스트패스는 해킹 당해 서비스가 임시중단되는 사태가 발생한 바 있다.
더구나 이 회사가 운영 중인 서버는 이미 기준량 이상 데이터를 송수신하면서 과부하 상태인 것으로 나타났다. 최근 일부 사용자들이 이 서비스가 제공하는 비밀번호 재설정 기능을 사용하면 제대로 작동하지 않으면서 '우리의 서버가 현재 과부하에 걸렸다'라는 메시지가 등장하기 때문이다.