2022년 발생했던 침해 사고...공격자들은 공격 이어가 암호화폐까지 탈취

요약 : 보안 외신 블리핑컴퓨터에 의하면 비밀번호 관리 프로그램인 라스트패스(LastPass)의 데이터베이스에서 훔친 비밀 키와 비밀번호를 사용한 공격자들이 지난 10월 25일까지 440만 달러에 해당하는 암호화폐를 훔치는 데 성공했다고 한다. 테일러 모나한(Taylor Monahan)이라는 개발자가 암호화폐 도난 사건을 추적하다가 발견한 사실로, 440만 달러라는 금액은 25명이 넘는 사람들에서 나온 것이라고 모나한은 밝혔다. 이 사건에 사용된 라스트패스 정보가 침해된 건 2022년의 일이다.


배경 : 2022년 발생한 라스트패스 침해 사고로 공격자들은 소스코드와 고객 데이터, 각종 제품 생산과 관련된 백업 데이터를 가져가는 데 성공했다. 하지만 라스트패스는 “마스터 비밀번호만 잘 설정해 보관하고 있었다면 공격자들이 데이터를 복호화 할 수 없을 것”이라고 장담했었다. 그러면서 다시 한 번 마스터 비밀번호를 어렵게 설정할 것을 권고하기도 했었다.

말말말 : “이번 조사를 통해 밝혀진 25명 정도의 피해자들은 마스터 비밀번호를 쉽게 설정한 사람들이었던 것으로 추정됩니다. 공격자들이 쉽게 이들의 정보를 크래킹했고, 그래서 꾸준히 그 정보를 활용할 수 있었던 것으로 보입니다.” -테일러 모나한-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>