맨위로가기

라스트패스

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

라스트패스는 비밀번호 관리 서비스로, 2010년 Xmarks Sync를 인수하며 시작되었다. 2015년 GoTo에 인수되었고, 2024년 독립 회사로 분사했다. 사용자 콘텐츠는 마스터 암호로 보호되며, AES-256비트 암호화, PBKDF2 SHA-256, 솔티드 해시를 사용한다. 주요 웹 브라우저 및 모바일 운영 체제를 지원하며, 폼 필러, 무작위 비밀번호 생성, 다단계 인증 등의 기능을 제공한다. PC 매거진으로부터 "편집자 선택"으로 선정되었으나, 여러 차례의 보안 사고로 사용자 정보가 유출된 바 있다.

더 읽어볼만한 페이지

  • 암호 관리자 - 비밀번호 관리자
    비밀번호 관리자는 계정 정보를 안전하게 저장 및 관리하는 소프트웨어 또는 서비스로, 저장 방식에 따라 종류가 나뉘며 편의성을 제공하지만 보안 위험도 존재하여 신중한 선택과 사용이 필요하다.
  • 암호 관리자 - 데누보
    데누보는 Denuvo Software Solutions GmbH에서 개발한 DRM 및 안티 치트 기술로, 게임 불법 복제 방지를 목적으로 하지만 성능 저하 논란이 있으며 Irdeto에 인수되어 PC 게임 외 닌텐도 스위치 에뮬레이션 방지 기술도 제공한다.
  • 구글 크롬 확장 프로그램 - 구글 오퍼스
    구글 오퍼스는 구글이 2011년부터 2014년까지 운영했던 지역 할인 서비스이며, 구글 체크아웃 및 구글 월렛과 연동되어 서비스를 제공하다가 경쟁 심화와 수익성 악화로 2014년 3월에 종료되었다.
  • 구글 크롬 확장 프로그램 - 애드블록
    애드블록은 웹 브라우저에서 광고를 차단하는 소프트웨어로, 이지리스트를 지원하며, 크라우드 펀딩 캠페인을 통해 광고 차단 인지도를 높이고, 허용 가능한 광고 프로그램에 참여하기도 하며, 국제앰네스티와 협력하여 기사 배너를 게재하기도 했다.
  • 2008년 소프트웨어 - 안드로이드 (운영체제)
    구글이 개발한 리눅스 커널 기반의 모바일 운영체제인 안드로이드는 오픈소스 플랫폼으로 다양한 기기에서 활용되며 세계적으로 널리 사용되지만, 개인정보 보호 문제와 독점적 지위 남용 논란 등의 비판도 존재한다.
  • 2008년 소프트웨어 - 구글 크롬
    구글 크롬은 구글이 개발한 웹 브라우저로, 크로미엄 프로젝트를 기반으로 오픈 소스 코드를 활용하여 개발되었으며, 다양한 기능과 운영체제 지원을 통해 세계 시장 점유율 1위를 기록하지만 개인 정보 보호 정책으로 비판을 받기도 한다.
라스트패스 - [IT 관련 정보]에 관한 문서
일반 정보
이름LastPass
로고
유형비공개
산업 분야비밀번호 관리
컴퓨터 보안
설립일2008년
최고 경영자카림 투브바 (2022년 - 현재)
본사 위치125 High Street
본사 도시보스턴, 매사추세츠주
본사 국가미국
수익2억 달러 (2021년)
직원 수800명 이상 (2024년)
이전 모회사GoTo (2015년–2024년)
소유주Francisco Partners (2024년–)
Elliott Management (2024년–)
웹사이트LastPass 웹사이트
제품 정보
제품명LastPass Password Manager
출시일2008년 8월 22일
최신 버전4.85.1
최신 버전 출시일2021년 12월 7일
운영 체제크로스 플랫폼
언어다국어
라이선스부분 유료화

2. 역사

라스트패스 비밀번호 관리자에 저장된 비밀번호는 사용자가 설정한 마스터 비밀번호로 보호된다. 이 비밀번호들은 로컬에서 암호화된 후 다른 브라우저와 동기화된다. 라스트패스는 웹사이트의 사용자 이름 및 비밀번호 입력 칸에 맞춰 저장된 정보를 자동으로 입력해주며, 강력한 비밀번호 생성, 사이트 정보 공유, 로그인 기록 확인 기능도 제공한다.

한편, 라스트패스의 비밀번호 관리 기술은 인터넷 보안 기업 Webroot의 보안 제품군에 있는 "ID 및 개인 정보 보호" 기능에 통합되기도 했다. 다만, 두 회사 간의 라이선스 계약에 대한 구체적인 내용은 공개되지 않았다.[54] 라스트패스는 서비스 운영 과정에서 여러 차례 인수 및 정책 변경을 겪었다. (자세한 내용은 하위 문단 참고)

2. 1. 인수 및 합병

2010년 12월 2일, 라스트패스는 브라우저 간 암호 및 북마크 동기화 기능을 제공하는 웹 브라우저 확장 프로그램인 Xmarks를 인수한다고 발표했다.[13][14][53] 이 인수는 재정적 어려움을 겪던 Xmarks의 서비스 유지를 가능하게 했다. 두 서비스는 별도로 운영되었지만, 인수를 통해 두 서비스를 함께 이용할 수 있는 유료 프리미엄 구독 가격이 인하되었다.[13][14]

2015년 10월 9일, GoTo(당시 LogMeIn)가 1.1억달러에 라스트패스를 인수했다. 라스트패스는 GoTo가 이미 인수한 유사 서비스인 Meldium과 함께 LastPass 브랜드로 통합되었다.[16][17]

2018년 3월 30일, 라스트패스는 사용자들에게 이메일을 통해 Xmarks 서비스가 2018년 5월 1일에 종료될 것이라고 공지했다.[15]

2021년 12월 14일, GoTo는 라스트패스를 독립 회사로 분사할 계획이라고 발표했다.[22] 분사는 2024년 5월에 완료되었으며, 이로써 라스트패스는 2020년에 GoTo를 비공개 회사로 전환시킨 사모 펀드 회사인 프란시스코 파트너스(Francisco Partners)와 엘리엇 매니지먼트(Elliott Management)의 직접적인 통제를 받게 되었다.[7][23]

2. 2. 서비스 변화

2016년 3월 16일, 라스트패스는 무료 2단계 인증 앱인 LastPass Authenticator를 출시했다.[18] 같은 해 11월 2일에는 무료 계정 사용자가 모든 장치에서 콘텐츠를 동기화할 수 있도록 지원한다고 발표했다. 이전에는 이 기능이 유료 계정에서만 가능했으며, 무료 계정은 하나의 앱으로만 동기화할 수 있었다.[19][20]

2017년 8월, 라스트패스는 가족 구성원 간에 암호, 은행 계좌 정보 등 민감한 데이터를 공유할 수 있는 가족 요금제인 LastPass Families를 연간 48USD 구독료로 발표했다. 이와 함께 새로운 기능 추가 없이 프리미엄 버전의 가격을 두 배로 인상했으며, 무료 버전의 일부 기능은 제거되었다.[21]

2021년 2월 17일, 라스트패스는 무료 버전 정책 변경을 발표했다. 2021년 3월 16일부터 무료 버전 사용자는 PC 또는 모바일 기기 중 한 종류에서만 서비스를 이용할 수 있게 제한되었다. 또한, 2021년 5월 17일부터는 무료 사용자에 대한 이메일 지원도 종료되었다.[55]

3. 기능

라스트패스는 사용자의 비밀번호 및 보안 노트 등 민감한 정보를 안전하게 관리하고, 웹사이트 및 앱 로그인 과정을 자동화하는 다양한 기능을 제공한다.[75] 모든 저장된 콘텐츠는 사용자가 설정한 하나의 마스터 비밀번호로 보호되며,[75][10] 데이터는 AES-256 등 강력한 암호화 기술을 통해 사용자 기기 수준에서 암호화 및 복호화된다.[10][11]

주요 기능으로는 웹사이트 로그인 정보 및 양식 자동 입력(양식 필러),[75] 안전한 비밀번호 생성,[75] 여러 기기 간 데이터 동기화 등이 있다.[75][10] 이 외에도 다단계 인증,[12] 사이트 정보 공유,[75] 비밀번호 가져오기/내보내기,[56] 지문 인증[56] 등 보안과 편의성을 높이는 부가 기능을 지원한다. 라스트패스는 다양한 웹 브라우저 확장 프로그램 및 모바일 앱을 통해 여러 플랫폼에서 사용 가능하다.[75][56]

3. 1. 핵심 기능

라스트패스에 저장된 비밀번호나 보안 노트와 같은 사용자 콘텐츠는 사용자가 설정한 하나의 마스터 비밀번호로 보호된다.[75][10] 이 정보는 AES-256 비트 암호화 방식, PBKDF2 SHA-256, 그리고 솔티드 해시 기법을 사용하여 암호화된다. 암호화 및 복호화는 사용자 기기에서 직접 이루어지므로 라스트패스 서버에는 암호화된 데이터만 저장될 뿐, 마스터 비밀번호 자체는 저장되지 않는다.[10][11]

주요 기능은 다음과 같다.

  • 자동 입력 및 채우기: 웹사이트 로그인 시 사용자 이름과 비밀번호를 자동으로 입력해주고, 주소나 결제 정보 등 웹 양식을 자동으로 채워주는 양식 필러 기능을 갖추고 있다.[75]
  • 비밀번호 생성기: 보안성이 높은 복잡한 비밀번호를 자동으로 생성해준다.[75]
  • 데이터 동기화: 사용자가 라스트패스를 설치한 컴퓨터, 스마트폰 등 여러 기기 간에 저장된 데이터를 자동으로 동기화하여 어디서든 최신 정보에 접근할 수 있다.[75][10]
  • 다단계 인증: 마스터 비밀번호 외에 추가적인 인증 단계를 설정하여 계정 보안을 강화할 수 있다. LastPass Authenticator 앱이나 YubiKey와 같은 하드웨어 키 등 다양한 인증 방법을 지원한다.[12]
  • 비밀번호 힌트: 다른 주요 비밀번호 관리 서비스와는 다르게, 마스터 비밀번호를 잊어버렸을 경우를 대비해 사용자가 미리 설정한 비밀번호 힌트를 통해 계정에 접근할 수 있는 옵션을 제공한다.[32]
  • 사이트 공유 및 로그: 특정 웹사이트의 로그인 정보를 다른 라스트패스 사용자와 안전하게 공유하는 기능과 로그인 기록을 확인하는 기능을 지원한다.[75]


라스트패스는 구글 크롬, 모질라 파이어폭스, 애플 사파리, 마이크로소프트 엣지, 오페라 등 주요 웹 브라우저에서 확장 프로그램 형태로 사용할 수 있다. 또한 안드로이드, iOS, 윈도우 폰 운영체제를 사용하는 스마트폰용 앱도 제공하며, 이 앱들은 인터넷 연결 없이도 저장된 정보에 접근할 수 있는 오프라인 기능을 지원한다.[75]

3. 2. 지원 환경

라스트패스는 다양한 환경에서의 사용을 지원한다. 주요 웹 브라우저인 구글 크롬, 파이어폭스, 애플 사파리, 마이크로소프트 엣지, 오페라에서 확장 기능 형태로 이용할 수 있다.[75] 또한 안드로이드, iOS, 윈도우 폰 운영 체제를 사용하는 스마트폰용 앱도 제공하며, 이 앱들은 오프라인 기능을 지원하여 인터넷 연결 없이도 저장된 정보에 접근하는 것이 가능하다.[75] 이러한 크로스 플랫폼 지원을 통해 사용자는 여러 기기에서 라스트패스를 이용할 수 있다.[56]

4. 평가

라스트패스는 출시 이후 여러 기술 매체와 전문가로부터 대체로 긍정적인 평가를 받아왔다. PC 매거진은 2009년과 2016년 리뷰에서 라스트패스를 높이 평가하며 '편집자 선택'으로 선정했다.[24][25][58] 보안 전문가 스티브 깁슨 역시 2010년 자신의 시큐리티 나우 팟캐스트에서 라스트패스의 보안 모델을 긍정적으로 평가했다.[26][62] 또한 다운로드 스쿼드[59], 라이프해커[60], Makeuseof 등 다른 기술 매체에서도 소개되었다.

그러나 2015년 GoTo에 인수될 당시에는 일부 사용자들로부터 비판적인 반응이 나오기도 했다. 당시 라스트패스 창립자 조 시그리스트의 블로그에는 GoTo 인수에 대한 부정적인 사용자 의견이 다수 게시되었으며,[28] ZDNet, 포브스, 인포월드 등 주요 기술 매체들은 이러한 사용자들의 우려와 반발을 보도했다.[29][30][31]

이러한 논란에도 불구하고 라스트패스는 기술적으로 꾸준히 인정받았다. 2017년 컨슈머 리포트는 라스트패스를 대시레인, 키패스, 1패스워드와 함께 주요 비밀번호 관리자 중 하나로 언급하며, 서비스 선택은 개인 선호에 따른다고 평가했다.[32] 이 외에도 라스트패스는 여러 상을 수상하며 기술력을 인정받았다.[33]

4. 1. 수상 경력

2009년 3월, PC 매거진은 라스트패스에 별 다섯 개와 "우수" 등급을 부여하고, 암호 관리 부문 "편집자 선택"으로 선정했다.[24][58] 2016년에는 라스트패스 4.0 출시 이후 진행된 리뷰에서 다시 별 다섯 개와 "탁월" 등급을 받았으며, "편집자 선택"으로 선정되었다.[25] 2019년 3월, 제7회 연례 사이버 디펜스 매거진 인포섹 어워드에서 신원 관리 부문 최고의 제품상을 수상했다.[33]

4. 2. 보안 모델 평가

2010년 7월, 라스트패스의 보안 모델은 스티브 깁슨이 자신의 시큐리티 나우 팟캐스트 에피소드 256에서 상세히 다루며 높이 평가했다.[26][62] 그는 이후 같은 팟캐스트의 에피소드 421에서 국가안보국(NSA)과의 관련성을 포함하여 이 주제를 다시 언급하기도 했다.[27]

4. 3. 사용자 반응

라스트패스는 출시 초기부터 긍정적인 평가를 받았다. 2009년 3월, PC 매거진은 라스트패스에 최고 등급인 별 다섯 개와 "우수" 등급을 부여하며 암호 관리 부문 "편집자 선택"으로 선정했다.[24][58] 또한 다운로드 스쿼드[59], 라이프해커[60], MakeUseOf 등 여러 기술 매체에서도 소개되었다. 2010년 7월에는 컴퓨터 보안 전문가 스티브 깁슨이 자신의 시큐리티 나우 팟캐스트에서 라스트패스의 보안 모델을 상세히 분석하고 높이 평가했다.[26][62] 그는 이후 다른 에피소드에서도 국가안보국(NSA)과의 관련성을 포함하여 이 주제를 다시 다루었다.[27]

그러나 2015년 10월, GoTo의 라스트패스 인수 발표 후 일부 사용자들 사이에서 비판적인 반응이 나왔다. 당시 라스트패스 창립자 조 시그리스트의 블로그에는 GoTo에 대한 부정적인 사용자 의견이 다수 게시되었다.[28] ZDNet, 포브스, 인포월드 등 주요 기술 매체들은 이러한 기존 고객들의 강한 반발을 보도했다. 일부 사용자들은 GoTo와의 거래를 거부하겠다는 의사를 밝히거나 GoTo의 기업 평판에 대한 우려를 제기했다.[29][30][31]

이러한 논란에도 불구하고 라스트패스는 기술적으로 꾸준히 인정받았다. 2016년 라스트패스 4.0 출시 이후 PC 매거진은 다시 한번 이 서비스에 최고 등급인 별 다섯 개와 "탁월" 등급, 그리고 "편집자 선택"을 부여하며 긍정적인 평가를 유지했다.[25] 2017년 컨슈머 리포트는 라스트패스를 대시레인, 키패스, 1패스워드와 함께 인기 있는 비밀번호 관리자 중 하나로 언급하며, 어떤 서비스를 선택할지는 개인의 선호도에 따라 달라질 수 있다고 평가했다.[32] 2019년 3월에는 제7회 연례 사이버 디펜스 매거진 인포섹 어워드에서 신원 관리 부문 최고의 제품상을 수상하기도 했다.[33]

5. 보안 문제

라스트패스는 2011년 5월, 네트워크 트래픽에서 이상 현상을 감지하고 이메일 주소, 서버 솔트, 솔트된 비밀번호 해시 등의 잠재적 유출 가능성에 대응하여 예방적 보안 조치를 시행한 바 있다.[63][64] 당시 직접적인 정보 유출 증거는 없다고 밝혔으며, 이후 고객 정보 손실이나 비밀번호 유출은 보고되지 않았다.

5. 1. 2011년 보안 사고

2011년 5월 3일, 라스트패스는 자사의 수신 네트워크 트래픽에서 이상 현상을 발견했고, 이후 송신 네트워크 트래픽에서도 유사한 이상을 확인했다.[63] 관리자는 기존의 보안 결함을 나타내는 특징(예: 관리자 권한 획득 증거를 남기지 않는 데이터베이스 로그)을 찾지 못했지만, 이상 현상의 근본적인 원인을 특정할 수는 없었다.

이러한 상황에서 라스트패스는 이메일 주소, 서버의 솔트(salt), 그리고 솔트 처리된 비밀번호 해시가 자사 서버에서 유출되었을 가능성을 고려했다. 이에 대한 조치로 이상 현상이 발생한 서버를 제거하고 시스템을 재구축했다. 2011년 5월 4일에는 모든 사용자에게 예방 차원에서 마스터 비밀번호 변경을 요청했다. 그러나 사용자 트래픽이 로그인 서버에 몰리면서 과부하가 발생하자, 라스트패스는 추가 공지가 있을 때까지 마스터 비밀번호 변경 작업을 일시적으로 중단하기도 했다.

라스트패스는 고객 정보 유출의 직접적인 증거는 없지만, "예방에는 지나침이 없다"는 입장을 밝혔다.[64] 이러한 선제적 조치 덕분에 이후 고객 정보 손실이나 비밀번호 유출 사례는 보고되지 않았다. 당시 보안 전문가 조 시글리스트(Joe Siegrist)는 라스트패스의 대응을 "확실히 현명하다"고 평가하며 제3자 감사를 위탁할 것을 제안했고, 라스트패스는 이를 받아들여 감사를 의뢰했다. 그러나 해당 감사의 결과는 아직 발표되지 않았다.

5. 2. 2015년 보안 침해

2015년 6월 15일 월요일, 라스트패스는 지난 금요일 자사 네트워크에서 의심스러운 활동을 발견하고 이를 중단시켰다고 밝혔다. 조사 결과, 라스트패스 계정의 이메일 주소, 비밀번호 힌트, 사용자별 서버 솔트, 인증 해시가 유출된 것으로 확인되었다. 다만, 암호화된 사용자 보관소 데이터는 영향을 받지 않은 것으로 나타났다.[34]

5. 3. 2021년 서드 파티 추적기 및 보안 사고

2021년, 라스트패스의 안드로이드 앱에 서드 파티 추적기가 포함되어 있다는 사실이 밝혀졌다.[35] 또한 같은 해 말, ''블리핑 컴퓨터''는 일부 라스트패스 사용자들에게 마스터 비밀번호가 유출되었다는 경고가 전달되었다고 보도했다.[36]

5. 4. 2022년 고객 데이터 및 비밀번호 보관소 유출

2022년 8월, 해커가 라스트패스 시스템에 침입하여 고객 데이터베이스 사본과 고객 비밀번호 보관소(vault) 사본 일부를 탈취하는 심각한 보안 사고가 발생했다.[37][67] 이 공격으로 고객의 이름, 이메일 주소, 청구지 주소, 전화번호, IP 주소, 부분적인 신용카드 번호 등 민감한 개인 정보가 유출되었다.[37][44]

또한, 도난당한 비밀번호 보관소 사본에는 암호화되지 않은 웹사이트 URL[8] 및 사이트 이름과 함께, 사용자의 마스터 비밀번호로 암호화된 사용자 이름, 비밀번호, 양식 데이터 등 중요한 정보가 포함되어 있었다.[44] 이 데이터 유출은 사용자의 마스터 비밀번호 강도가 약하거나 이전에 유출된 적이 있는 경우, 암호화된 정보마저 해독될 수 있다는 심각한 위험을 드러냈다.[44][38][45] 이 사건은 이후 집단 소송 제기와 대규모 암호화폐 도난 사건과의 연관성 의혹 등 심각한 파장을 낳았다.[48][49][50]

5. 4. 1. 유출 원인 및 경과

2022년 8월, 라스트패스는 해커의 공격으로 일부 소스 코드와 독자적인 기술 정보가 유출되었다고 발표했다. 당시에는 고객 데이터나 암호화된 비밀번호 보관소에는 접근 흔적이 없다고 밝혔으나,[67] 이후 조사 과정에서 피해 규모가 예상보다 심각하며 고객 데이터도 유출된 사실이 드러났다.[68][69][70][71] 라스트패스는 이 사건에 대해 사과했지만, 형식적인 사과라는 비판을 받았다.[72]

유출된 정보에는 고객의 이름, 청구지 주소, 전화번호, 이메일 주소, IP 주소, 부분적인 신용카드 번호 등이 포함되었다.[44] 또한, 비밀번호 보관소 사본 일부가 도난당했는데, 여기에는 암호화되지 않은 웹사이트 URL[8] 및 사이트 이름과 함께, 해당 사이트의 사용자 이름, 비밀번호, 양식 데이터 등이 사용자의 마스터 비밀번호로 암호화된 상태로 포함되어 있었다.[37][44] 각 사용자의 암호화 라운드 수, MFA 시드, 장치 식별자 등 민감한 정보도 유출되었다.[44] 암호화된 데이터의 보안성은 사용자의 마스터 비밀번호 강도, 해당 비밀번호의 과거 유출 여부, 사용된 암호화 라운드 수에 따라 달라진다. 그런데 이 라운드 수 정보까지 도난당하면서 일부 고객의 보관소는 다른 보관소보다 해독에 더 취약해졌다.[44][38]

유출 경과는 다음과 같다.

# 공격자는 먼저 손상된 개발자 노트북 한 대를 통해 개발 환경, 소스 코드, 기술 정보 일부에 무단으로 접근했다.[40] 라스트패스는 개발 환경을 재구축하고 인증서를 교체하는 방식으로 대응했다.[41]

# 그러나 공격자는 획득한 정보를 이용해 선임 DevOps 엔지니어의 개인용 컴퓨터를 표적으로 삼아 해킹했다.[41][74]

# 키 로거를 설치하여 해당 엔지니어의 마스터 비밀번호를 알아냈다.[41][74]

# 이 마스터 비밀번호를 사용하여 단 4명의 엔지니어만 접근 권한을 가졌던 암호화된 기업 내부 보관소에 접근했다.[42]

# 해당 보관소에는 고객 파일의 S3 백업 버킷에 접근할 수 있는 키가 포함되어 있었다.[42][74] 공격자가 관리자 접근 키를 사용했기 때문에 비정상적인 활동으로 감지되지 않아 문제 발견이 늦어졌다.[74]

# 공격자는 탈취한 키를 이용해 2022년 8월 14일자 사용자 데이터베이스와 2022년 8월 20일부터 9월 16일 사이에 생성된 여러 비밀번호 보관소 백업본을 획득했다.[43]

2022년 11월, 라스트패스는 여전히 서비스에 저장된 비밀번호가 안전하다고 사용자들을 안심시키려 했으나,[39] 보안 전문가들은 사용자의 마스터 비밀번호가 약하거나 이미 유출된 경우, 암호화된 데이터라도 비밀번호 크래킹될 수 있다는 심각한 우려를 표명했다.[44][45] 라스트패스는 처음에 대부분의 고객은 별다른 조치가 필요하지 않다고 밝혔지만,[46] 외부 전문가들은 모든 비밀번호를 변경하고 피싱 공격 가능성에 대비할 것을 강력히 권고했다.[44][47] 라스트패스 또한 이후 사용자들에게 마스터 비밀번호 변경 및 2단계 인증 활성화 등 보안 강화를 권고했다.[74]

한편, 8월 해킹 정보를 토대로 2022년 11월에는 라스트패스의 모회사인 GoTo의 서드파티 클라우드 스토리지까지 침입당하는 2차 해킹이 발생했다. 이로 인해 GoTo와 라스트패스 고객 데이터의 암호화된 백업이 저장된 곳에서 "특정 요소"에 접근이 성공했으며, LogMeIn Central, LogMeIn Pro, join.me, Hamachi, RemotelyAnywhere 등 다른 GoTo 제품의 고객 데이터 백업 일부도 유출되었다. 유출 가능성이 있는 정보에는 계정 사용자 이름, 솔트 처리 및 해싱된 비밀번호, 이메일, 전화번호, 청구지 주소, 신용카드 번호 마지막 4자리, MFA 설정 일부, 제품 설정 및 라이선스 정보 등이 포함될 수 있다.[73] GoTo는 TLS 1.2 암호화 등으로 인해 이번 공격이 클라이언트에 영향을 미칠 가능성은 없다고 주장했다.[73]

2023년 초, 익명의 사용자들이 라스트패스가 사용자 정보를 안전하게 보호하지 못했다며 집단 소송을 제기했다. 소송에서는 특히 유출된 세부 정보가 피싱 공격에 악용될 위험이 커졌다는 점이 주요 쟁점으로 부각되었다.[48]

2023년 9월에는 2022년 데이터 유출 사건과 2022년 12월부터 150명 이상의 피해자로부터 총 3500만달러 이상의 암호화폐가 도난당한 사건 사이에 연관성이 있을 수 있다는 의혹이 제기되었다. 암호화폐 도난 피해자 대부분이 라스트패스 사용자라는 점이 이러한 의혹의 근거가 되었다.[49][50]

5. 4. 2. 피해 및 대응

2022년 8월, 해커가 라스트패스의 개발 환경에 침입하여 소스 코드 일부와 기술 정보를 탈취했다.[67][40] 라스트패스는 처음에 고객 데이터나 암호화된 비밀번호 보관소에는 접근하지 못했다고 밝혔으나,[67] 이후 조사 과정에서 이 정보가 같은 해 11월에 발생한 추가 공격에 사용된 것으로 드러났다.[41][68][69][70][71] 라스트패스는 개발 환경을 재구축하고 인증서를 교체하는 방식으로 대응했다.[41]

그러나 공격자는 8월에 얻은 정보를 이용해 선임 DevOps 엔지니어의 컴퓨터를 표적으로 삼아 키로거를 설치했고, 이를 통해 엔지니어의 마스터 비밀번호를 알아냈다.[41][74] 이 비밀번호를 사용하여 공격자는 4명의 엔지니어만 접근 권한을 가진 암호화된 기업 비밀번호 보관소에 접근했으며, 여기에는 고객 데이터 백업이 저장된 아마존 S3 버킷의 접근 키가 포함되어 있었다.[42][74] 공격자는 이 키를 사용하여 2022년 8월 14일자 사용자 데이터베이스 사본과 8월 20일부터 9월 16일 사이에 생성된 여러 비밀번호 보관소 백업본을 탈취했다.[43]

유출된 고객 정보에는 이름, 이메일 주소, 청구지 주소, 전화번호, IP 주소, 부분적인 신용카드 번호 등이 포함되었다. 또한, 비밀번호 보관소 백업에는 암호화되지 않은 웹사이트 URL(URL 암호화는 2024년에 추가되었다[8])과 사이트 이름, 그리고 사용자의 마스터 비밀번호로 암호화된 사용자 이름, 비밀번호, 양식 데이터, 다단계 인증(MFA) 시드, 장치 식별자, 사용된 암호화 라운드 수 등이 포함되었다.[37][44]

2022년 11월, 라스트패스는 처음에 저장된 비밀번호가 여전히 안전하다고 사용자들에게 알렸으나,[39] 보안 전문가들은 사용자의 마스터 비밀번호가 약하거나 이전에 유출된 적이 있다면, 암호화된 데이터라도 비밀번호 크래킹에 취약할 수 있다는 우려를 제기했다.[44][45] 결국 라스트패스는 초기 입장과 달리 모든 비밀번호를 변경하고 피싱 공격에 대한 경계를 강화할 것을 권고했다.[44][47] 이 사건에 대한 라스트패스의 사과는 형식적이라는 비판도 있었다.[72]

또한, 11월 공격으로 모회사인 GoTo의 다른 서비스 고객 데이터 백업도 유출된 사실이 밝혀졌다. 유출된 데이터에는 LogMeIn Central, LogMeIn Pro, join.me, Hamachi, RemotelyAnywhere 등의 서비스 관련 정보가 포함될 수 있으며, 계정 사용자 이름, 솔트 및 해싱된 비밀번호, 이메일, 전화번호, 청구지 주소, 신용카드 번호 일부, 다단계 인증 설정 일부 등이 포함될 수 있다고 GoTo는 발표했다.[73] GoTo는 사이버 보안 기업 맨디언트의 도움을 받아 조사를 진행했으며, 공격자가 실제 운영 시스템에 접근한 증거는 없고 전송 계층 보안 1.2 암호화 등으로 인해 클라이언트가 직접적인 영향을 받을 가능성은 낮다고 밝혔다.[73]

2023년 초, 라스트패스가 사용자의 정보를 안전하게 보호하지 못했다며 익명의 사용자들이 집단 소송을 제기했다. 소송에서는 유출된 정보가 피싱 공격에 악용될 위험이 커졌다는 점이 주요 쟁점으로 부각되었다.[48]

2023년 9월에는 2022년 라스트패스 데이터 유출 사건과 2022년 12월 이후 150명 이상의 피해자로부터 총 3500만달러 이상의 암호화폐가 도난당한 사건 사이에 연관성이 있다는 주장이 제기되었다. 피해자 대부분이 라스트패스 사용자였다는 점이 이러한 주장의 근거가 되었다.[49][50]

이전에도 라스트패스는 2011년 5월 네트워크 트래픽 이상 현상을 감지하고 예방 차원에서 서버를 재구축하며 모든 사용자에게 마스터 비밀번호 변경을 요청한 바 있다. 당시 이메일 주소, 서버 솔트, 솔트된 비밀번호 해시 등이 유출되었을 가능성이 제기되었으나, 직접적인 고객 정보 유출 증거는 없었으며 이후 실제 피해 보고는 없었다.[63][64]

5. 5. XSS 취약점

2011년 2월, 보안 연구원 마이크 카드웰에 의해 크로스 사이트 스크립팅(XSS)의 보안 허점이 발견되어 보고되었고, 라스트패스는 이를 수 시간 내에 해결했다[65]. 해당 문제는 위험도가 낮은 것으로 평가되었으며, 로그 분석 결과 카드웰 외 다른 인물에 의한 악의적인 이용 증거는 발견되지 않았다. 라스트패스는 보안 허점 해결과 더불어 추가적인 보안 강화를 위해 HTTP Strict Transport Security(HSTS)(카드웰의 제안), X-Frame-Options, 그리고 다중 방어를 위한 콘텐츠 보안 정책과 같은 시스템을 도입했다[65][66].

6. 소스 코드

라스트패스는 기본적으로 폐쇄 소스 소프트웨어이지만, 비 바이너리 모드로 작동하는 일부 확장 기능의 소스 코드는 이용할 수 있다. 그러나 모든 권리는 라스트패스가 보유하고 있다.

라스트패스 개발자 중 한 명인 사미르는 소프트웨어의 이론적 정합성은 오픈 소스가 아니어도 검증할 수 있다고 주장했으며, 미래에 라스트패스의 사용자 인터페이스를 오픈 소스로 공개할 가능성이 있다고 언급했다.[57]

7. 유사 서비스

라스트패스와 유사한 기능을 제공하는 비밀번호 관리 서비스는 다양하게 존재한다. 이러한 서비스들은 사용자의 비밀번호를 안전하게 저장하고 관리하며, 웹사이트 로그인 과정을 간편하게 만드는 데 도움을 준다. 주요 서비스들은 제공 형태나 라이선스에 따라 오픈 소스, 상용 서비스, 운영체제 내장 기능 등으로 나눌 수 있다.

7. 1. 오픈 소스 서비스

라스트패스와 유사한 기능을 제공하는 대표적인 오픈 소스 암호 관리자는 다음과 같다.

  • KeePass: 다양한 플랫폼을 지원하며, 암호 데이터베이스 파일을 로컬이나 클라우드 저장소에 저장하여 관리할 수 있다.
  • Bitwarden: 클라우드 기반 동기화를 지원하며, 개인 사용자는 무료로 사용할 수 있는 요금제를 제공한다. 자체 호스팅 옵션도 제공하여 보안에 민감한 사용자나 조직에게 유용하다.

7. 2. 상용 서비스


  • 키체인
  • RoboForm
  • [https://1password.com/ 1Password]
  • [https://www.dashlane.com/ Dashlane]
  • iCloud 키체인
  • Bitwarden

7. 3. 운영체제 내장 서비스


  • 키체인
  • iCloud 키체인

참조

[1] 웹사이트 LastPass has a new CEO https://www.bostongl[...] 2022-04-26
[2] 웹사이트 LastPass to stand alone as LogMeIn owners say they'll spin off the password management company https://www.bostongl[...] 2021-12-14
[3] 웹사이트 LastPass Joins the LogMeIn Family https://blog.lastpas[...] LogMeIn 2015-10-09
[4] 웹사이트 Why Encrypted Passwords Make a Difference https://www.nytimes.[...] 2011-06-11
[5] 웹사이트 Behind the App: The Story of LastPass https://lifehacker.c[...] 2015-01-16
[6] 웹사이트 LastPass bought by LogMeIn for $110 million https://www.zdnet.co[...] 2015-10-09
[7] 웹사이트 LastPass officially splits from former parent GoTo https://www.techrada[...] 2024-05-02
[8] 웹사이트 LastPass is now encrypting URLs in password vaults for better security https://www.bleeping[...] 2024-05-22
[9] 간행물 Yes, It's Time to Ditch LastPass https://www.wired.co[...] 2022-12-30
[10] 웹사이트 The best way to manage passwords https://www.lastpass[...] LogMeIn
[11] 웹사이트 11 Ways to Make Your LastPass Account Even More Secure https://www.howtogee[...] 2012-08-09
[12] 웹사이트 LastPass Authenticator (for iPhone) https://www.pcmag.co[...] Ziff Davis 2016-03-30
[13] 웹사이트 LastPass Acquires Xmarks! https://blog.lastpas[...] LogMeIn 2010-12-02
[14] 웹사이트 LastPass Acquires Xmarks, Keeping Free Bookmark-Syncing Plans Available https://lifehacker.c[...] Gizmodo Media Group 2010-12-02
[15] 뉴스 LogMeIn to shut down Xmarks on May 1, 2018 https://www.ghacks.n[...] 2018-04-01
[16] 웹사이트 LogMeIn buys LastPass password manager for $110 million https://arstechnica.[...] Condé Nast 2015-10-09
[17] 웹사이트 LogMeIn Acquires Password Management Software LastPass For $110 Million https://techcrunch.c[...] Oath Tech Network 2015-10-09
[18] 웹사이트 LastPass Releases Its Own 2-Factor Mobile Authenticator App http://www.androidpo[...] Illogical Robot 2016-03-16
[19] 웹사이트 Get LastPass Everywhere: Multi-Device Access Is Now Free! https://blog.lastpas[...] LogMeIn 2016-11-02
[20] 웹사이트 There's now one less excuse not to use a password manager https://www.theverge[...] Vox Media 2016-11-02
[21] 웹사이트 LastPass announces pricing for 'Families' plan; doubles cost of Premium option https://9to5google.c[...] 2017-08-03
[22] 웹사이트 LogMeIn Set to Establish LastPass as an Independent Cloud Security Company Amid Strong Market Demand https://www.logmein.[...] LogMeIn 2021-12-14
[23] 뉴스 LastPass completes spinoff from GoTo https://www.bostongl[...] 2024-05-02
[24] 웹사이트 LastPass 1.50 Review https://www.pcmag.co[...] Ziff Davis 2009-03-20
[25] 간행물 LastPass 4.0 Review http://uk.pcmag.com/[...] 2016-11-02
[26] 웹사이트 Security Now 256: LastPass Security https://twit.tv/show[...] 2010-06-10
[27] 웹사이트 Security Now 421: The Perfect Accusation http://twit.tv/show/[...] 2013-09-11
[28] 웹사이트 LogMeIn buys LastPass password manager for $110 million https://arstechnica.[...] Condé Nast 2015-10-09
[29] 웹사이트 LastPass bought by LogMeIn for $110 million; ... outcry from LastPass users, some of whom say they refuse to do business with LogMeIn https://www.zdnet.co[...] 2015-10-09
[30] 웹사이트 LastPass Joins LogMeIn, But Not Everyone Is Thrilled About It https://www.forbes.c[...] 2015-10-09
[31] 웹사이트 LogMeIn acquires LastPass to beef up identity portfolio https://www.infoworl[...] 2015-10-09
[32] 뉴스 Everything You Need to Know About Password Managers https://www.consumer[...] 2017-02-07
[33] 웹사이트 LastPass by LogMeIn Awarded 2019 InfoSec Recognition https://www.techfunn[...] 2019-03-20
[34] 웹사이트 Hack of cloud-based LastPass exposes hashed master passwords https://arstechnica.[...] Condé Nast 2015-06-15
[35] 웹사이트 1Password has none, KeePass has none... So why are there seven embedded trackers in the LastPass Android app? https://www.theregis[...] 2021-02-25
[36] 웹사이트 LastPass users warned their master passwords are compromised https://www.bleeping[...] 2021-12-28
[37] 웹사이트 The number of companies caught up in recent hacks keeps growing https://arstechnica.[...] 2024-09-19
[38] 웹사이트 Hackers stole encrypted LastPass password vaults, and we're just now hearing about it https://www.theverge[...] 2024-09-20
[39] 웹사이트 Lastpass says hackers accessed customer data in new breach https://www.bleeping[...] 2022-11-30
[40] 웹사이트 Notice of Recent Security Incident https://blog.lastpas[...] 2022-08-26
[41] 웹사이트 Security Incident Update and Recommended Actions https://blog.lastpas[...] 2023-03-05
[42] 웹사이트 LastPass says employee's home computer was hacked and corporate vault taken https://arstechnica.[...] 2023-02-28
[43] 웹사이트 What data was accessed? - LastPass Support https://support.last[...] 2023-03-05
[44] 웹사이트 LastPass users: Your info and vault data is now in hackers' hands https://arstechnica.[...] 2022-12-22
[45] 웹사이트 LastPass admits attackers copied password vaults https://www.theregis[...] 2022-12-27
[46] 웹사이트 Notice of Recent Security Incident https://blog.lastpas[...] 2022-12-22
[47] 웹사이트 LastPass finally admits: Those crooks who got in? They did steal your password vaults, after all… https://nakedsecurit[...] 2022-12-28
[48] 웹사이트 LastPass Faces Class-Action Lawsuit Over Password Vault Breach https://www.pcmag.co[...] 2023-01-06
[49] 웹사이트 LastPass security breach linked to $35 million stolen in crypto heists https://www.theverge[...] 2023-09-08
[50] 웹사이트 Experts Fear Crooks are Cracking Keys Stolen in LastPass Breach – Krebs on Security https://krebsonsecur[...] 2024-09-20
[51] 웹사이트 LogMeInがLastPassを買収 {{!}} スラド セキュリティ https://security.sra[...] 2020-08-17
[52] 웹사이트 パスワード管理のLastPassが再び独立運営に 来年機能追加も https://japanese.eng[...] 2021-12-16
[53] 간행물 LastPass Acquires Xmarks! http://blog.lastpass[...] LastPass blog 2010-12-02
[54] 뉴스 Automation, partnerships drive Webroot revamp http://download.cnet[...] cnet.com 2010-07-26
[55] 뉴스 パスワード管理「LastPass」の無料版、3月にスマホかデスクトップかの選択必須に https://www.itmedia.[...] ITmedia NEWS
[56] 문서 https://lastpass.com[...]
[57] 문서 Sameer's commentary on making lastpass open source http://forums.lastpa[...]
[58] 문서 LastPass 1.50 Review & Rating | PCMag.com http://www.pcmag.com[...]
[59] 문서 Is Lastpass as good as they make it sound? http://downloadsquad[...]
[60] 문서 LastPass Adds Form Filler, Syncs Form Profiles and Passwords http://lifehacker.co[...]
[61] 문서 Securely Synchronize Your Browser Passwords With LastPass http://www.makeuseof[...]
[62] Youtube Security Now 256: LastPass Security http://twit.tv/sn256
[63] 문서 LastPass Security Notification http://blog.lastpass[...]
[64] 문서 LastPass Security Notification https://lastpass.com[...]
[65] 문서 LastPass Vulnerability Exposes Account Details https://grepular.com[...]
[66] 문서 Cross-Site Scripting Vulnerability http://blog.lastpass[...]
[67] 웹사이트 パスワード管理ツール「LastPass」がハッキングの被害、ソースコードと独自技術が漏洩/パスワードの漏洩はなし https://forest.watch[...] 2023-01-18
[68] 웹사이트 パスワード管理アプリ「LastPass」から盗み出したソースコードを使ってハッカーが顧客データにアクセスしたことが判明 https://gigazine.net[...] 2023-01-18
[69] 웹사이트 2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ~当初想定より深刻/マスターパスワード1つでギリギリ。大事な暗号化データは辛うじて保護 https://forest.watch[...] 2023-01-18
[70] 웹사이트 パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 https://gigazine.net[...] 2023-01-18
[71] 웹사이트 データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演 https://gigazine.net[...] 2023-01-18
[72] 웹사이트 パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵 https://gigazine.net[...] 2023-01-18
[73] 웹사이트 LastPass親会社が不正アクセスで顧客データの一部を盗み出されていたことを認める https://gigazine.net[...] 2023-05-09
[74] 웹사이트 パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因 https://gigazine.net[...] 2023-05-09
[75] 웹인용 The best way to manage passwords https://lastpass.com[...] LastPass 2016-11-02
[76] 웹인용 Bookmarklets https://web.archive.[...] LastPass 2016-11-02
[77] 웹인용 LastPass Joins the LogMeIn Family https://blog.lastpas[...] LastPass 2016-11-02


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com