LastPass 데이터 유출은 어떻게 발생했으며, 어떻게 예방할 수 있을까?

2022년에서 2023년에 걸쳐 발생한 LastPass 데이터 유출 사고는 정교한 사이버 공격이 어떻게 장기적인 보안 재앙으로 이어질 수 있는지 보여주는 사례입니다. 이 종합적인 분석에서는 사건의 전말, 그 영향, 그리고 보안 태세를 강화하고자 하는 조직을 위한 중요한 교훈을 자세히 살펴봅니다.

영향: 수치로 보는 피해 규모#

이 유출 사고의 결과는 심각하고 장기적으로 나타났습니다:

• 3,300만 명의 사용자 피해 발생
• 25명 이상의 피해자로부터 440만 달러 도난
• 단 일주일 만에 500만 달러가 도난당한 것으로 보고됨
• 암호화폐로 1,500만 달러 도난

핵심 요약#

• 단일 개발자 계정의 손상으로 인해 3,300만 명의 LastPass 사용자에게 영향을 미친 유출 사고가 발생했습니다.
• 공격자는 암호화된 비밀번호 금고와 고객 정보에 대한 접근 권한을 얻었습니다.
• 이 유출 사고와 관련된 암호화폐 탈취로 1,500만 달러 이상이 도난당했습니다.
• 이 사건은 원격 근무 보안 및 사고 대응의 심각한 취약점을 드러냈습니다.

초기 침해 - 2022년 8월#

이 유출 사고는 공격자가 손상된 단일 개발자 계정을 통해 LastPass의 개발 환경에 무단으로 접근하면서 시작되었습니다. 이 단계에서 공격자가 획득한 정보는 다음과 같습니다:

• LastPass 소스 코드의 일부
• 독점 기술 정보
• 개발 환경 리소스에 대한 접근 권한

상황 악화 - 2022년 11월/12월#

초기에는 통제된 것처럼 보였던 상황이 공격자가 훔친 정보를 활용하여 다음과 같은 조치를 취하면서 빠르게 악화되었습니다:

• LastPass의 타사 클라우드 스토리지 서비스에 접근
• 고객 금고 데이터의 백업 사본 획득
• 암호화되지 않은 고객 계정 정보 손상

결정적 전개 - 2023년 3월#

LastPass가 밝힌 업데이트에 따르면 공격자는 다음과 같은 행동을 취했습니다:

• 수석 DevOps 엔지니어의 개인용 홈 컴퓨터 손상
• 타사 미디어 소프트웨어의 취약점 악용
• 마스터 비밀번호를 캡처하기 위해 키로거(keylogger) 멀웨어 배포
• 중요한 복호화 키에 대한 접근 권한 획득

어떤 데이터가 유출되었는가?#

고객 정보#

• 회사명
• 최종 사용자 이름
• 청구지 주소
• 이메일 주소
• 전화번호
• IP 주소

기술 데이터#

• 고객 금고 백업
• DevOps 비밀(secrets)
• 클라우드 기반 백업 스토리지
• MFA/페더레이션 데이터베이스 백업

조직을 위한 필수 보안 교훈#

1. 강력한 네트워크 세분화 구현#

• 중요 시스템과 데이터 분리
• 접근 권한 수준이 다른 보안 영역 생성
• 세그먼트 간 엄격한 접근 제어 구현
• 네트워크 세그먼트 간 트래픽 모니터링

2. 원격 근무 보안 강화#

• 재택근무 기기에 대한 명확한 정책 수립
• 업무용 기기에 개인 소프트웨어 설치 제한
• 강력한 엔드포인트 보호 구현
• 원격 근무 환경에 대한 정기적인 보안 감사

3. 사고 대응 및 커뮤니케이션 개선#

• 명확한 사고 대응 절차 개발
• 이해관계자와의 투명한 커뮤니케이션 유지
• 보안 사고 발생 시 신속한 문서화 및 업데이트
• 진행 중인 사고에 대한 정기적인 업데이트 제공

4. 비밀번호 및 접근 관리 강화#

• 모든 시스템에 다중 인증(MFA) 도입
• 각 계정에 대해 강력하고 고유한 비밀번호 요구
• 정기적인 비밀번호 변경 및 보안 감사
• 강력한 보안 기능을 갖춘 비밀번호 관리자 사용

조직을 위한 예방 조치#

1. 기술적 통제#

• 제로 트러스트(Zero-trust) 아키텍처 구현
• 고급 엔드포인트 보호 배포
• 정기적인 보안 평가 및 모의 해킹(Penetration testing)
• 지속적인 모니터링 및 로깅

2. 관리적 통제#

• 직원을 대상으로 한 정기적인 보안 교육
• 명확한 보안 정책 및 절차
• 공급업체 리스크 관리
• 사고 대응 계획 수립

결론#

LastPass 데이터 유출 사고는 포괄적인 보안 조치와 적절한 사고 대응의 중요성을 보여주는 중요한 교훈입니다. 조직은 잠재적인 보안 침해에 대비하면서 여러 계층의 보호를 구현하는 등 사전 예방적인 보안 접근 방식을 취해야 합니다. 이 사건을 통해 기업은 자산을 더 잘 보호하고 고객과의 신뢰를 유지할 수 있습니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →

자주 묻는 질문(FAQ)#

LastPass 유출 사고에서 공격자는 어떻게 개발자 계정에서 고객 금고 접근으로 권한을 상승시켰나요?#

공격자는 2022년 8월 LastPass의 개발 환경에서 훔친 소스 코드와 기술 정보를 사용하여 고객 금고 백업이 보관된 타사 클라우드 스토리지 서비스에 접근했습니다. 이러한 다단계의 권한 상승은 2023년 초 전체 규모가 공개되기 전까지 수개월에 걸쳐 진행되었습니다.

유출 사고 이후에도 LastPass의 암호화된 금고가 여전히 위험에 노출된 것으로 간주된 이유는 무엇인가요?#

공격자는 수석 DevOps 엔지니어의 개인 홈 컴퓨터에 키로거를 배포하여 암호화된 금고 백업과 무엇보다도 중요한 복호화 키를 모두 확보했습니다. 복호화 키와 함께 마스터 비밀번호가 캡처되었다는 것은 암호화만으로는 고객 데이터를 완벽하게 보호할 수 없음을 의미했습니다.

어떤 원격 근무 보안 실패가 LastPass 유출 사고를 악화시켰나요?#

수석 DevOps 엔지니어의 개인 홈 컴퓨터가 타사 미디어 소프트웨어의 취약점을 통해 손상되었으며, 이는 원격 근무 기기에 대한 강력한 엔드포인트 보호 정책이 방지하고자 하는 주요 위험입니다. 개인 소프트웨어 설치를 제한하고 홈 네트워크 설정에 대한 보안 감사를 강제하는 것이 핵심 완화 조치입니다.

2022-2023년 LastPass 유출 사고에서 노출된 특정 데이터 유형은 무엇인가요?#

노출된 데이터는 이름, 청구지 주소, 이메일 주소, 전화번호 및 IP 주소를 포함한 고객 정보와 고객 금고 백업, DevOps 비밀(secrets), 클라우드 기반 백업 스토리지 및 MFA/페더레이션 데이터베이스 백업을 포함하는 기술 데이터의 두 가지 범주에 걸쳐 있었습니다. 이러한 개인 데이터와 인프라 데이터의 조합으로 인해 이번 유출 사고의 피해는 특히 심각했습니다.