이원영 기자
지난해 8월 발생한 암호 관리 앱 라스트패스(LastPass) 소스 코드 유출 사건에선 발생 당초에는 사용자 암호가 도난당한 증거는 발견되지 않았다고 했지만 11월말이 되자 사용자 데이터에 대한 무단 액세스가 있었다는 게 밝혀졌다. 새롭게 라스트패스에서 도난당한 사용자 비밀번호가 해독되어 암호화폐 도난에 악용됐을 수 있다는 보도가 나왔다.
이더리움 블록체인 암호화폐 지갑으로 인기를 끌고 있는 메타마스크(MetaMask) 설립자인 테일러 모나한은 2022년 12월말 이후 발생한 150건 이상 암호화폐 도난 사건에 대해 암호화폐 지갑 복구 기업(Unciphered) 디렉터 등과 조사를 실시했다. 모나한이 조사한 피해자 거의 전원은 오랜 세월에 걸쳐 암호화폐 투자자이자 보안에 관심이 높은 사람들이었다고 한다. 또 이메일이나 스마트폰 침해 등 일반 암호화폐 도난 전조가 되는 이벤트도 볼 수 없었다고 한다. 모나한은 피해자 프로필은 인상적이라며 그들은 안전했고 평판 좋은 암호화폐기관이나 벤처캐피털 직원, 디파이 프로토콜을 구축한 이들이었다고 말한다.
피해자로부터 도난당한 암호화폐가 송금된 지갑에서 기타 피해자까지 거슬러 올라가 3,500만 달러 암호화폐를 잃은 150명 이상 인터뷰를 분석한 결과 피해자 공통점으로는 비밀번호 관리 앱인 라스트패스를 사용하고 있었다는 것이었다고 한다. 모나한은 피해자가 라스트패스에 암호화폐 지갑에 액세스하기 위한 키를 저장하고 있으며 2022년 8월 라스트패스 데이터 침해로 도난당한 데이터에 피해가 데이터가 포함됐을 가능성이 있다고 결론지었다.
2008년 출시된 라스트패스는 고유 마스터 비밀번호로 다양한 계정 비밀번호를 중아에서 관리할 수 있어 보안에 관심이 높은 2,500만 명 이상 사용자를 보유하고 있었다. 그런데 2022년 8월 발생한 데이터 침해로 사용자가 암호를 보관하고 있는 보관고(Vault)데이터가 유출된 게 보고됐다.
라스트패스는 사용자가 설정한 마스터 비밀번호 자체를 저장하지 않았으며 암호화가 강력하기 때문에 해킹에 대해 안전하다고 호소했다. 하지만 해커가 암호화된 보관고 데이터 자체를 얻으면 해커는 오프라인에서 많은 암호를 시도하는 무차별 공격을 수행할 수 있으며 마스터 암호를 성공적으로 크래킹할 수 있다는 것.
한 연구자는 대량 데이터가 도난당한 경우 보관고 소유자에 관한 정보를 입수할 수 있다면 무차별 공격에 취약하게 된다고 지적한다. 또 무차별 공격에 대한 안전성은 마스터 암호 문자 수와 암호에서 개인키를 생성할 때 계산 횟수를 지정하는 반복수에 따라 달라진다. 라스트패스는 2018년 마스터 비밀번호 최소 문자수를 12자로 늘렸고 기존 반복 카운드도 자주 증가해왔지만 이전부터 사용하고 있던 사용자에게 마스터 암호나 반복 카운트 변경을 강제하지는 않았다고 한다. 따라서 마스터 암호를 8자로 설정할 수 있어 기본 반복 카운트가 작았던 오래된 사용자일수록 무차별 공격에 취약하다고 한다.
라스트패스 측은 2022년 데이터 침해에 대해선 법 집행기관 수사와 소송이 진행 중이라고 밝혔다. 덧붙여 라스트패스 데이터 침해는 보관고 데이터에 액세스할 수 있는 직원 자택 PC에 대한 복잡한 표적형 공격이 원인이었다고 한다. 해커는 직원이 홈네트워크에서 실행 중인 미디어 서버 취약점을 악용하고 PC에 키로거 멀웨어를 삽입해 직원 마스터 암호를 훔쳐 라스트패스 보관고 데이터에 액세스했다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
