암호 재사용으로부터 LastPass 사용자 보호하기

아마 뉴스에서 여러 번 보셨겠지만 지난 몇 주간 LinkedIn, MySpace와 같은 많은 브랜드들이 최근 데이터 유출 및 보안 사고를 당했습니다. 유감스럽게도 이와 같은 대규모 데이터 유출 사고가 발생하면 수백만 개의 사용자 이름과 암호가 쉽게 남용될 수 있는 상황에 처하게 됩니다. 공격자들이 해당 자격 증명을 가장 쉽게 이용할 수 있는 방법은 같은 사용자 이름과 암호 조합을 사용하여 조직적으로 다른 웹사이트에 로그인을 시도하는 것입니다.

사람들이 암호를 다시 사용하는 경우가 많기 때문에 공격자들은 다른 웹사이트의 계정에 빠르게 액세스할 수 있으며 이를 “암호 재사용 공격”이라고 부릅니다. 새로운 웹사이트 자체에는 보안 문제가 없더라도, 사용자들이 여러 개의 웹사이트에서 같은 암호를 사용하기 때문에 위험에 처하게 됩니다. 다행히도 LastPass는 가장 인기 있는 암호 관리자 중 하나이지만 그렇다고 해도 이러한 공격에서 완전히 자유롭지는 않습니다. 암호 재사용은 위험하지만 흔한 관행이기 때문에, 당사에서는 이러한 관행으로부터 사용자들을 보호하기 위해 모든 노력을 다하고 있습니다.

다른 웹사이트에 해킹 사고가 발생할 때 당사의 보안 엔지니어 팀이 사용자 이름과 암호를 보호하기 위해 끊임없이 웹을 모니터링하는 이유가 바로 여기에 있습니다. 새로운 유출 사고를 알게 되면, 당사에서는 즉시 유출된 사용자 이름과 암호 목록을 입수하고 당사의 사용자층과 비교하여 LastPass 계정과 일치하는지 확인합니다. 사용자 이름 또는 암호가 일치할 경우, 당사는 사용자의 저장소를 보호하기 위해 즉시 계정을 비활성화합니다. LastPass 팀은 사전에 사용자를 보호하기 위해 수년간 이 일을 해 왔습니다.

당사에서는 어떤 조치를 취해 왔을까요?

최근 발생한 LinkedIn 사고의 경우, 데이터 위반 자체는 이미 몇 년 전에 발생했지만 사용자 이름과 암호 목록은 최근에서야 온라인에서 유출되었습니다. 이에 대해, 당사에서는 유출된 자격 증명과 일치하는 것으로 드러난 모든 LastPass 사용자 계정을 비활성화했습니다. 정확히 말하자면, LastPass 보안 위반이나 문제를 경험하지 않았습니다. 이번 조치는 위반 사고가 발생한 다른 웹사이트에서 암호를 다시 사용한 사용자를 보호하기 위한 사전 조치에 불과합니다.

LastPass 사용자의 마스터 암호를 가지고 있습니까?

아니요. LastPass는 사용자의 마스터 암호를 가지고 있지 않습니다. 암호가 다른 웹사이트에서 유출되면, LastPass는 로그인 시도를 시뮬레이션하는 스크립트를 통해 해당 데이터를 실행합니다. 스크립트는 사용자가 로그인할 때마다 LastPass가 활용하는 표준 PBKDF2 해시 기능을 수행하므로 사용자가 입력한 암호가 정확한지 알 수 있습니다. 그런 다음에 스크립트 결과를 당사 데이터베이스에 저장된 암호 해시와 비교합니다. 암호 해시가 일치할 경우, 사용자의 LastPass 계정에서 암호가 다시 사용되었음이 드러나고 계정은 비활성화됩니다.

LastPass 사용자는 어떻게 해야 합니까?

계정이 비활성화되면, 신뢰할 수 있는 장소에서 로그인하여 계정을 확인하고 계정을 다시 활성화하라는 메시지가 나타납니다. 계정을 다시 활성화하려면:

  1. 웹 저장소(https://lastpass.com/)을 통해 로그인
  2. 재활성화 프로세스가 트리거됨
  3. 여기에서 확장 또는 웹 저장소를 통해 로그인하면 마스터 암호 재설정 페이지로 리디렉션됩니다.

로그인을 시도하는 동안 계정이 비활성화됨이라는 메시지가 나타나면, https://lastpass.com으로 가서 확인 프로세스를 시작하십시오. 알 수 없는 장치나 새로운 장소에서 로그인하는 경우, 신뢰할 수 있는 장치나 과거에 계정에 액세스한 적이 있는 기존 장소(IP 주소)로 리디렉션됩니다.

이 과정을 완료하면, 계정을 잠금 해제하고 마스터 암호를 더 강력한 새 암호로 업데이트할 수 있습니다.

그런 다음에 당사는 LastPass 보안 챌린지를 사용하여 암호를 다시 사용하고 있는 다른 웹사이트에 대해 저장소를 스캔할 것을 강력하게 권고합니다. LastPass는 해당 암호를 강력하고 고유한 암호로 교체하도록 도울 수 있습니다. LastPass 마스터 암호를 다시 사용하지 않았더라도, 보안 챌린지를 실행하여 사용 중인 모든 웹사이트에 대해 각기 다른 암호를 사용하고 있는지 확인하는 것이 좋습니다.