2022년 라스트패스 침해 사고, 현재까지도 피해 지속

비밀번호 관리 프로그램 개발사 라스트패스(LastPass)에서 2022년에 발생한 데이터 유출 사고로 인해 지금까지 암호화폐 탈취 사건이 발생하고 있었다는 연구 결과가 나왔다. 보안 기업 TRM랩스(TRM Labs)가 이에 관한 상세 내용을 발표했는데, 이러한 꾸준하고 집요한 탈취 행위 배후에는 러시아 해커들이 있을 가능성이 높다고 한다. 

2022년의 사고

2022년에 라스트패스에서는 무슨 일이 일어났을까? 그 해 8월, 누군가 라스트패스의 개발 환경에 침투했었다. 정확히는 개발자 한 명의 노트북을 해킹하는 데 성공한 것으로, 여기서부터 공격자는 소스코드와 각종 기술 문서, 암호 키를 훔쳐냈다. 그리고 8월말과 9월 사이, 공격자는 이 정보를 바탕으로 또 다른 개발자의 PC에 침투하는 데 성공했다. 권한이 좀 더 높은 인물이었고, 공격자는 이 피해자의 컴퓨터에 키로거를 심어 중요 크리덴셜을 훔쳤다. 이를 가지고 라스트패스 백업 DB 전체를 복사할 수 있었다.

문제는 이 백업 DB 전체 안에 금고(vault) 데이터가 포함돼 있다는 것이었다. ‘볼트’라고도 하는 이 금고는, 비밀번호 프로그램에 저장돼 있는 각종 정보의 묶음을 말한다. 보통은 암호화 된 상태로 저장돼 있다. 라스트패스의 경우도 이 금고는 암호화 돼 있었다. 이 때문에 당시 라스트패스는 “금고가 암호화 돼 있어 공격자가 가지고 갔다 하더라도 해독이 어렵고, 따라서 활용할 수 없다”며 ‘사실상 피해가 없다’는 식으로 발표했었다. 하지만 암호화 된 정보라도 공격자들은 일단 가지고 가서 크래킹을 시도하며, 이 경우에도 그랬던 것으로 보인다.

공격자들의 집요함

훔쳐낸 정보가 암호화 돼 있다고 해서 금방 포기하는 건 해커가 아니다. 대부분의 해커들에게는 ‘집요함’이라는 특성이 내재돼 있기 때문이다. 라스트패스의 금고가 암호화 돼 있다고 폐기 처분할 공격자들이 아니었다. 공격자들은 수년 동안 금고를 놓지 않고 있었다. “계속해서 복호화 시도를 하고 있었던 것으로 보입니다. 그러다가 금고의 비밀번호가 약한 사용자들의 정보를 일부 크래킹하는 데 성공했고, 이런 정보들을 점진적으로 확보했습니다. 그렇게 얻어낸 정보들로 암호화폐 탈취를 지속해 왔고요.”

공격자들이 크래킹을 수년 동안 이어올 수 있었던 것은, 금고가 라스트패스의 인프라가 아니라 공격자들의 인프라로 넘어와 있었기 때문이다. “라스트패스의 인프라에 금고가 있었다면, 로그인 시도가 여러 번 실패할 경우 계정이 잠긴다던지, 시간 제한을 둔다든지 하는 등의 방어 조치가 발동될 수 있습니다. 아무리 라스트패스가 각종 공격 시나리오를 상정해 정교한 방어 체계를 갖췄다 한들, 금고가 공격자의 인프라로 옮겨진 순간 전부 무효화 되는 것입니다.”

무슨 의미인가? “공격자들이 훔쳐간 데이터는 암호화 되어 있기 때문에 피해는 없고, 피해자들은 사실상 안전하다”는 류의 기업 발표 내용이 허상일 때가 많다는 것이다. TRM은 “금고가 한 순간에 뚫리지 않았다는 것에 집중해야 한다”고 짚는다. “암호화 되어 있기 때문에 안전하다는 말 자체는 ‘특정 시간 안에서만’ 맞는 소리입니다. 그 어떤 것도 영구히 안전하지는 않아요. 암호화라는 기술도 마찬가지입니다. 시간이 충분하고, 크래킹 기회만 충분히 주어진다면 얼마든지 깨질 수 있어요.”

어떤 피해 있었나

TRM랩스에 의하면 이 같이 집요한 공격자들은 라스트패스의 볼트를 가져간 후부터 지금까지 약 3500만 달러 이상의 암호화폐를 훔쳐낸 것으로 추정된다고 한다. 공격자들은 러시아 해킹 조직과 관련이 있는 암호화폐 거래소를 통해 문제의 암호화폐가 꾸준히 빼돌리거나 세탁했고, 이 때문에 TRM랩스는 라스트패스를 침해해 암호화폐 도난 사건까지 저지른 자들이 러시아 해커들일 거라고 보고 있다.

피해자들은 당연하 라스트패스를 사용해 오던 고객들이다. TRM랩스가 블록체인을 면밀히 분석했을 때, “개인 암호화폐 지갑을 금고 안에 넣어서 보관하던 사용자들이 가장 큰 피해를 입은 것”으로 나타났다고 한다. 그런데 여기서 중요한 점이 하나 드러났다. “모든 금고가 다 뚫린 건 아니”라는 것이다.

아직 남은 금고가 있다

TRM랩스는 “금고 비밀번호를 강력하게 설정해 둔 사용자들은 아직 침해되지 않은 것으로 보인다”고 보고서를 통해 밝혔다. “지금까지 암호화폐 피해가 확인된 사례들을 보니, 금고 비밀번호가 약한 경우가 거의 전부였습니다. 강력한 비밀번호를 사용했던 사용자들 사이에서는 아직 암호화폐 피해가 발견되지 않았습니다.”

이를 통해 알 수 있는 건 공격자들이 ‘브루트포스(brute-force)’ 기법으로 금고를 뚫고 있다는 것이다. 무작위로 아무 문자열을 대입해보는 것으로, “족히 수백만 번 이상의 반복 대입을 했을 것”으로 추정된다고 한다. “지난 2~3년 사이에 뚫린 사용자들의 비밀번호는 2~3년 동안 꾸준히 문자열을 대입하면 깨질 정도의 강력함만을 가지고 있었다고 볼 수 있습니다. 지금까지 안 뚫린 비밀번호는, 그것보다 강력했다는 것이고요.”

실제 비밀번호를 16~20자 이상으로 설정하면 브루트포스 공격으로 깨는 데에 수십 년에서 수백 년까지 걸릴 수 있다. 공격자들이 수십~수백 년 동안 꾸준히 크래킹을 시도하면 강력한 비밀번호 잠겨있는 금고들도 언젠가는 열린다는 것이다. 하지만 그 전에 공격자들의 수명이 끝날 것이므로, 사실상 크래킹이 불가능하다고 할 수 있다. “비밀번호 관리 프로그램을 사용하려면, 금고의 비밀번호 하나는 강력하게 설정해두어야 합니다. 그래야 공격자들의 장기적 공격에도 안전할 수 있습니다.”

라스트패스 사용자, 어떻게 해야 하나?

라스트패스와 같은 비밀번호 관리 프로그램은, 보안 전문가들이 사용을 권하는 도구 중 하나다. 그러므로 ‘라스트패스를 그만 사용해야 한다’는 결론을 내리는 건 온전한 정답이 될 수 없다. 그렇다고 해서 라스트패스가 완전 무결한 건 아니며, 사용자들 편에서 할 일이 전혀 없는 것도 아니다. 위에서처럼 금고의 비밀번호를 안전하게 만드는 건 사용자들이 반드시 해야 할 일이다. 

“현재 라스트패스를 사용하고 있다면 금고 비밀번호 상태를 확인하십시오. 그리고 최소 16자 이상, 이상적으로는 20장 이상의 긴 비밀번호로 바꾸는 게 좋습니다. 그런 후에는 암호화폐 지갑을 새 것으로 생성해 개인 키를 새로 발급받고, 애플, 구글, MS 계정 등의 주요 비밀번호도 교체하십시오. 각종 금융 기관 서비스의 비밀번호도 바꾸고요.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• LastPass breach timeline: How a monthslong cyberattack unraveled - Cybersecurity Dive, 2023년 (2022년 두 차례 침해로 고객 금고 백업까지 탈취된 과정과 이후 장기적인 위험을 정리한 타임라인)
• LastPass Security Breaches 2022: What We Know Now - Uptycs, 2023년 (소스코드·금고 백업 탈취 후 사용자가 마스터 비밀번호를 약하게 설정했을 때 발생할 수 있는 2차 피해 시나리오와 암호화폐 보안 권고 포함)
• LastPass Hack: Flow of Funds Analysis - Merkle Science, 2023년 (LastPass 침해 이후 도난 자금의 온체인 이동 경로를 추적하며, 암호화폐 지갑 시드 구문이 금고에 저장된 사용자가 연쇄적으로 타깃이 된 양상을 분석)
• Threat Highlight Report – September 2023 - WithSecure, 2023년 (MetaMask 연구를 인용해 최소 150명, 3,500만 달러 이상의 암호화폐가 LastPass에 보관된 시드 구문 탈취로 도난당한 사례를 요약)

158년 역사가 한 순간에 물거품...비밀번호가 진범

💡Editor’s Pick - 158년 된 영국 물류 회사, 랜섬웨어에 감염 - 감염 경로는 직원 한 명의 약한 비밀번호 - 결국 회사 문 닫고, 700명 직원 실업자 됨 158년이라는 유구한 전통을 자랑하는 운송 회사가 랜섬웨어 한 방에 무너졌다. 영국 노샘프턴셔에 본사를 두고 활동하고 있는 KNP라는 회사의 이야기다. 이 때문에 회사도 역사

The Tech Edge문가용 기자