비밀번호 관리앱 라스트패스(LastPass) 소스코드 중 일부를 공격자가 탈취했다. 라스트패스 개발사는 사용자 암호는 도난당한 증거를 찾지 못했다고 말한다.
공식 발표에 따르면 2022년 8월 라스트패스 개발 환경에서 이상한 행동이 검출됐다고 한다. 비정상적인 행동에 대한 조사 결과 사용자 데이터와 암호화된 비밀번호에 대한 액세스 내역은 발견되지 않았지만 개발자 계정을 통해 소스코드 일부와 기술 정보 일부가 부정하게 입수됐다는 걸 알 수 있는 게 밝혀졌다.
소스코드 일부가 탈취된 사태에 대해 라스트패스는 사이버 보안 기업과 제휴해 보안을 강화했다고 한다. 또 라스트패스 서비스는 정상적으로 실행되고 있다고 밝히고 있다. 라스트패스는 사용자 우려를 해결하기 위해 Q&A도 게시했다.
이에 따르면 사용자 비밀번호나 마스터 비밀번호가 침해됐냐는 질문에 그렇지 않다며 이번 사건에서 사용자 비밀번호에 대한 액세스가 확인되지 않았으며 자사는 사용자 비밀번호를 저장하지 않는다고 설명했다. 사용자 환경이 침해됐냐는 질문에도 그렇지 않다며 이번 사건에선 라스트패스 개발 환경이 침해된 것이며 설문조사에선 암호화된 데이터에 대한 무단 액세스 증거를 찾지 못했다고 밝히고 있다.
사용자 개인 정보가 침해됐냐는 질문에도 아니라면서 운영 환경에서 사용자 데이터에 대한 액세스가 확인되지 않았다고 밝혔다. 데이터 보호를 위해선 이 시점에선 행동을 취하는 걸 권장하지 않는다며 항상 라스트패스에 대한 모범 사례를 따르게 좋다고 설명했다. 관련 내용은 이곳에서 확인할 수 있다.