비밀번호 관리자는 요즘 인기있는 도구이고 이곳에서도 몇 번 이야기가 있었던 기억이 있습니다. Lastpass는 비교적 오랜 시간 동안 이름을 알린 도구인 덕분에 추천 목록에도 종종 올라왔었구요.
하지만 그 유명세에 비해 Lastpass 자체의 보안은 허술한 구석이 좀 있어서 제법 잦은 빈도로 보안 사고가 있었는데, 이번에 발생한 보안 사고의 경우 규모나 상황이 더 심각한 것으로 보입니다. 이 글 (https://www.theverge.com/2022/12/28/23529547/lastpass-vault-breach-disclosure-encryption-cybersecurity-rebuttal) 을 보시면 조금 더 상세한 상황을 아실 수 있지만 간략하게 줄여 말씀드리면 1. 소스 코드를 탈취당했고 2. 이번 12월 발표로는 사용자의 패스워드 vault도 일부 탈취당한 것으로 알려졌습니다. 탈취당한 vault의 마스터 패스워드 (vault를 열고 패스워드 목록을 보기 위한 lastpass 패스워드)는 유출된 흔적이 아직까지는 없지만, 기사에서 지적하는 부분이 그 마스터 패스워드를 뚫는 데 필요한 노력이 Lastpass에서 주장하는것보다는 상대적으로 쉽다는 점이라 걱정할 만한 부분이 있습니다. 더불어서 일부 메타데이터는 암호화가 되지 않았다고 하니 패스워드 외의 일부 개인정보는 이미 유출되었을 가능성도 있겠죠.
패스워드 관리자같은 도구는 사용자 취향에 강력하게 영향을 받는 경우라 옮겨가기가 쉽지 않은 것은 사실입니다. 저도 예전에 쓰던 관리자에서 지금 관리자로 옮기는데 적잖은 시간을 소모했었습니다. 하지만, 패스워드 관리자의 목적인 안전한 패스워드 관리가 보장되기 힘든 이상 Lastpass를 쓰시던 분들은 다른 관리자로 옮기는 것을 고려해 보시는 것이 좋을 것 같습니다. 패스워드 관리자 자체의 효용성은 여전하고, 다른 안전한 관리자가 많으니만치 사용하지 않으시던 분들도 이번에 사용을 시작해 보시는 것을 권장드리고 싶네요.
1. 패스워드 관리자를 사용하지 않고 있는데 굳이 써야 하나?
가능하다면 사용하는 것을 권장하고 싶습니다. 패스워드 관리자를 통해 얻는 보안 이득 및 편의는 적지 않습니다. 특히 평문이나 쉽게 열어볼 수 있는 방식 (엑셀, google docs, 메모장..)으로 패스워드를 저장하고 계신다면 강력하게 바꾸시길 권장합니다.
2. 어떤 패스워드 관리자를 사용해야 하나?
다양한 회사에서 패스워드 관리자를 만들고 있으니 패스워드 관리자를 전문으로 만드는 기업 제품 중 / 유명하고 사용자가 많은 제품을 사용해보시면 됩니다. 이 게시판에도 몇 번 나왔었지만 1password, bitwarden 등이 있습니다. bitwarden같은 경우 클라우드 서버 없이 개인 서버에서 운영이 가능하므로 Lastpass와 같은 사고가 염려된다면 고려해볼만 하지만, 개인 서버의 보안 관리 또한 신경써야 한다는 점은 주의하셔야 합니다.
3. Icloud 패스워드 관리자를 사용하고 있는데 바꿔야 하나?
애플 생태계를 주로 사용하시고 icloud 외의 환경에서 패스워드를 사용할 일이 많지 않다면 굳이 그러실 필요는 없습니다.
4. 크롬 / edge 브라우저의 패스워드 관리자를 사용하고 있는데 바꿔야 하나?
사용하지 않는 것 보다는 낫지만, 가능하면 바꾸시는 것을 한번쯤은 고려해 보시는 것이 좋겠습니다. 최근에는 고쳐진 것으로 알고 있지만 초기에는 알려진 문제점들이 있었고, 브라우저 자체에 탑재된 기능이라 브라우저를 대상으로 한 보안 공격이 성공할 경우 같이 공격 대상이 될 수 도 있습니다.
5. Lastpass를 사용하고 있었다면?
등록된 사이트의 비밀번호를 모두 바꾸시고 (...) 새로운 관리자에 등록하신 후 lastpass 계정을 삭제하는 것을 추천하고 싶습니다.
6. 다른 패스워드 관리자를 사용하고 있지만 조심할 점은?
2fa를 지원하는 사이트라면, 무조건 2fa를 사용하시기를 강력하게 권장합니다. 선택할 수 있다면 반드시 OTP기반, 혹은 하드웨어 키 기반 (yubikey등) 으로 인증하시고, 특정 (주로 금융) 사이트처럼 핸드폰으로만 2fa 사용이 가능한 경우에는 핸드폰으로 인증하실 것을 추천합니다.
저는 1Password쓰고있는데 이게 따로 주는 비밀키를 서버쪽에서 저장하지 않아서 서버가 혹시 털려도 내용을 읽을 수 없다고 합니다.
대신 그 비밀키 잃어버리면 회사에서도 복구 방법이 없을 만큼 보안이 확실합니다.
저는 Lastpass 를쓰고있는데 제 아이폰에서 얼굴인식으로 로그인하게햇놨다가 폰을 바꾸면서 곤혹을 치뤘습니다. 몇년전의 나로 돌아가 대체 나는 뭘 생각했던건가! 하면서 몇시간을 씨름했었죠ㅠ
저는 SafeInCloud를 사용하고 있고 데이터는 개인 홈서버와 동기화 됩니다. 마찬가지로 저 앱에 들어가는 비번을 잃어버리면 매우 곤란해지겠지요. ^^
등록된 사이트의 비밀번호를 모두 바꾸시고 -> 아...
lastpass 유료로 사용하다가 bitwarden을 주로 lastpass를 보조로 사용하기는 하는데 이걸 다 바꿀려니 한숨만 나옵니다. 세어보니 320개네요.
Bitwarden에 import 기능 사용하시고 찬찬히 클린업 하셔도 될텐데요.
헉헉 우째 이런일이 ㅠㅠ 차라리 PC에 local로 저장하는 프로그램이 더 안전하겠군요. 저도 한참 전부터 사용하던거라 그 때는 뭐가 안전한지 클라우드가 뭔지 모르고 사용했는데 ... 일단 마스터 패스워드를 엄청 복잡하게 (30 캐릭터 특수문자 포함) 으로 해 놨었는데, 이번에 Google Authenticator 2FA도 켰어요... 그러면 좀 안전할까요...
찾아보니 KeePassXC 라는 프로그램은 cloud가 아니라 local storage한다는데 이쪽으로 export 해서 사용할까 고민도 되네요 ㅠㅠ
https://blog.1password.com/not-in-a-million-years/
1password가 대놓고 LastPass를 깠네요 ㅋㅋ
아무튼 이 블로그 포스트에서 반드시 배워야 할 점은,
어떤 패스워드 매니저를 쓰든 간에 마스터 패스워드 잘 만드세요!
https://support.apple.com/en-us/HT202303
여기보니 애플은 키 저장하는 위치가 다음과 같네요.
메일, 컨택, 캘린더, 프라이빗 키는 애플이 저장. Fbi 영장 들이밀면 볼 수 있음. 서버 털리면 라스트 패스 같은 상황
클라우드 백업, 드라이브, 사진, 노트, 리마인더, 북마크, 시리 숏컷, 보이스메모, 월렛 패스 - 키를 애플이 저장하게 할수도, 로컬 기기에만 저장하게 할수도 선택가능. 이거 업뎃된지 얼마 안된것 같습니다.
나머지 모든 개인 정보: 건강정보, 패스워드매니저, 결제정보 등 - 애플이 키를 저장하지 않고 로컬 기기에만 저장.
라스트패스 관련 테크니컬 디테일을 못봤지만 짧은 크립토 지식으로 정리해봤어요
1. 라스트패스는 인크립션 키를 가지고 있다 (원하면 자기들도 유저의 데이터, 타 사이트 비번, 볼 수 있고, 영장 들이밀면 줘야..
2. 제3 자들은 저 인크립션 키를 보려면 최소 로그인 인증이 되어야 한다. 해커가 데이터를 훔쳐가서 로그인 인증만 하면 다 볼 수 있다. 로그인 비번이 약한 유저는 다 털림
3. 애플의 경우 (다른 서비스는 조사 안해봤어요) 비번이 endto end encryption 이다. 이건 무슨 뜻이냐하면, 인트립션 키는 end 에만 있고 클라우드에 앖단 뜻입니다. 즉 클라우드가 털려도, 영장을 들이밀어도 키가 없으니 디크립션이 불가하다는 말입니다 (가능은한데 수퍼컴 평생 걸려도 힘든)
4. 크롬, 에지 브라우저에 패스워드 익스텐션이 있는데 좀 찾아보니, 윈도우용 아이클라우드가 설치되어, 그 기기가 하나의 신뢰하는 end 로 등록이 된 후에야 사용 가능한거 같습니다.
5. 사진 등은 아이클라우드 닷컴 가면 볼 수 있는데, 이런 기능적 이유로 end to end encryption 이 아니고 애플이 키를 갖고 있는더 같습니다만.. 이번 오에스 업뎃하면서 저거도 키를 저장하지 않게 설정 가능한가 같습니다 (그 경우 웹에서 사진을 볼 수 없는게 맞는지 테스트 해보고 싶네요.) 물론 공유하는 사진은 예외가 되는거 같습니다.
6. 메일, 연락처, 캘린더는 업계 표준과 호환 등을 이유로 키를 애플이 저장한다고 합니다
결론: 아이클라우드 패스워드 매니저는 애플이 털려도 안전하나 내 기기와 내 지문 (혹은 얼굴 혹은 패스코드) 가 털리면 털린다. 즉 안전
라스트패스도 마스터 패스워드는 자기네가 저장 안하고 있어서 (물론 마스터패스워드가 강력할 경우) 안전하다고 하는데 3번의 경우에 해당 되는걸까요? 흑흑
#1 사실인가요 아니면 생각인가요? LassPass 말이랑도 다르고 이건 패스워드 매니저의 기본이 안 된 걸로 보이는데요.
아래가 LassPass가 웹사이트에 올려둔 아키텍쳐 다이아그램입니다. 뻥친걸까요? ㅋㅋ
해커가 사용자의 비번만 트라이해서 맞추면 털린다고 말하는걸로 보아, 맞는것 같습니다만 어디까지나 제 추측입니다
사람들이 패스워드 난이도 가이드를 잘 따르지 않기 때문에 마스터 패스워드를 크랙하는 게 라스패스가 말하는 것만큼 어려운 건 아니라는 내용과 라스패스는 발트 전체를 암호화하는게 아니라 특정 메타데이터는 플레인 택스트로 저장하는 게 허점이라고 하는 내용은 기사 속에 있는데, 마스터 패스워드가 크랙되면 암호화된 데이터가 복호화된다는 얘기는 안 보이는 것 같아요. 제가 뭘 놓친 건가요 아니면 다른 곳에 그런 추가 정보가 공개됐나요?
크립토 지식이 짧아 잘 모르겠네요. 마스터가 해킹되면 다 털리는 구조 이렇게 이해하고 있습니다. (붙여주신 아키텍쳐는 이해가 어렵네요)
아이클라우드는 마스터 패스워드 (아이클라우드 로그인) 가 깨져도 기기가 없으면 안 털리는 구조로 이해하고 있고요.
마스터 패스워드가 크랙 되면 다 털리는 구조라고 생각하신 계기가 된 추가 정보가 있나 해서 여쭤봤어요. 적어도 본문 속 기사에는 그런 내용이 없어서요.
위 아키텍쳐 다이어그램에서보면 점선 박스 안에 있는 것들만 라스패스 서버에 저장이 됩니다. 즉, 인크립션키는 디바이스 레벨에 머물러 있습니다. 라스패스 역시 애플 키체인을 포함한 다른 패스워드 매니저들과마찬가지로 서버에서 암호화된 데이터가 털리더라도 사용 중인 기기가 같이 털리지 않는 한 저장된 패스워드들이 복호화 될 방법은 없어 보입니다.
라스트패스에 저장된 패스워드는 인크립트된 상태로 전부 다 털렸다고 생각해야 하는 것 같습니다.
master password 를 짧은 문자열이나 예측 가능한 숫자등으로 구성하셨던 경우, 정말로 그냥 비번이 100% 털렸다고 봐야할 것 같아요.
저도 당했는데요 ㅜ.ㅜ 당하고 보니 드는 생각은 서버 보안 수준이 이따위라면 google docs 에 raw text 로 저장 해놓은 것보다도 못한 것 같습니다.
적어도 구글 서버는 털리진 않겠죠.
무식(?)한 방법이나 구글 메모장에 적습니다. 입력할때 저만 알아보도록 암호화(?)해서 적습니다.
sticky note는 어느정도의 보안 수준일까요? 이것도 cloud에 저장 되는거 같은데..
패스워드 매니지먼트 하기에는 턱없이 부족한 수준일 것 같아요.
roboform 10년 전 부터 쓰고 있는데, 크롬 password manager 랑 동시사용이 불가능 해서 지금은 크롬 만 쓰고 있네요.
느낌이 가상화폐 블록체인과 비슷하네요. 기술적으론 절대 안전하다고 하지만, 관리하는 곳에서 너무 쉽게 해킹되는것 같네요. 걍 손으로 직접 수첩에 적는게 젤 안전할지도 모르겠네요.
예전에 Lastpass가 유료화되고 보안문제도 자주 들리길래 모두 export해서 Bitwarden으로 import한 후 Lastpass는 2FA만 enable시켜 놓고 백업으로 유지하고 있었는데 그냥 account를 날려버리는 게 나을 듯 싶네요.
Lastpass Export 옵션은 유료 회원만 가능한걸까요? 모바일이나 PC 하나만 가능한 무료회원인데 최근 보안 이슈 때문에 export 하는 메뉴를 모바일에서 찾으려고 하니 안 보이네요.
Lastpass 쓰고 있었는데 bitwarden or 1password 로 갈아타야겠네요~
2일전에 이 글 읽고, 크롬 패스워드 매니져 쓰고 있는데.. 옮겨야 하나 라고 했는데.. 오늘 아침에 일어나보니 크롬에서 패스워드가 싹 날라갔네요.. 200개가 넘는 계정이었던거 같은데.. 그냥 깨끗히 사라졌네요.. 무슨일인지 모르겠는데 어제 밤에만 해도 잘 되던게 오늘 아침에 안되니 황당하기도 하고.. 그러네요 ㅠㅜ
댓글 [27]