요 몇 주 동안 라스트패스 사용자들은 새로운 프롬프트 창을 보게 될 것이다. 비밀번호를 변경해야 한다는 내용이다. 이제 비밀번호를 구성하는 글자가 더 많아져야 한다. 다중인증 옵션도 계속해서 확대되고 있다.

[보안뉴스 문가용 기자] 비밀번호 관리 프로그램인 라스트패스(LastPass)가 새로운 규정을 도입했다고 발표했다. 이제부터 사용자들이 라스트패스의 마스터 비밀번호를 설정할 때 최소 12자를 활용해야 한다고 한다. 기존에는 그러한 규정이 없었다.


라스트패스는 1월 2일자 자사 블로그 게시글을 통해 “현재 NIST가 제시한 비밀번호 길이의 표준은 8자”라고 밝히며, “12자는 8자로 구성된 비밀번호보다 훨씬 강력할 수밖에 없다”고 주장했다. 이 블로그 글을 작성한 수석 분석가 마이크 코삭(Mike Kosak)은 “사이버 범죄자들의 비밀번호 크래킹 능력이 빠르게 발전하는데 사용자들은 점점 더 쉬운 비밀번호를 채택하고 있어 이런 강제 규정을 만들 수밖에 없었다”고 강조했다.

인증 수단을 강화하는 라스트패스
코삭은 “라스트패스워드 볼트는 각종 비밀번호가 저장되는 공간이라 철저하게 보호되어야 한다”며 “사용자들이 보다 강력한 비밀번호를 사용할 수밖에 없도록 돕는 차원에서 12자 규정을 도입한다”고 설명했다.

만약 이 규정을 제대로 지키지 않는 사용자가 있다면 “비밀번호를 변경하라는 프롬프트를 계속 띄우게 될 것”이라고 한다. “다만 이미 12자 이상의 강력한 비밀번호를 사용하고 있던 고객들에는 아무런 변화나 경고, 프롬프트가 없을 것입니다. 추가 조치를 취할 필요도 없습니다.”

비밀번호 변경과 관련된 안내는 점진적으로 전달될 예정이다. “먼저는 무료 사용자, 유료 사용자, 가족 사용자에게 이메일로 지금의 상황과 새 규정을 전달할 것입니다. 그런 다음 팀즈와 비즈니스 프로그램 고객들에게 메일을 발송할 예정인데, 1월말 정도가 될 것으로 예상하고 있습니다.”

그 외에도 라스트패스는 다중인증 옵션도 계속해서 확장하는 중이다. 라스트패스가 활용하는 다중인증은 마이크로소프트와 구글, 라스트패스에서 출시한 인증 전용 앱(authenticator)과 연계된 이중인증이 대부분으로, 문자메시지를 기반으로 한 것보다 강력하다는 평가를 받는다.

다사다난했던 한 해
라스트패스는 2023년, 보안 사고를 여러 차례 겪었다. 그러면서 보안 프로그램으로서의 명성이 적잖이 훼손됐다. 이번 인증 강화 규정을 통해 이미지 쇄신에 성공해야 하는 상황이기도 하다. “이번에 새롭게 비밀번호를 설정할 경우, 그 비밀번호를 다크웹에서 유통되는 것으로 알려진 비밀번호 데이터베이스와 대조할 것입니다. 그래서 겹치는 것이 나오면 사용자들에게 알려 다시 한 번 비밀번호를 설정하도록 도울 것입니다.”

우연이라고 하더라도 비밀번호가 다크웹에서 유통되고 있는 비밀번호와 겹치면 대단히 위험해진다는 게 라스트패스의 설명이다. “이전 침해 사고로 인해 밖으로 새나온 비밀번호를 사용하는 사용자들에게는 경고 팝업창을 띄울 예정입니다. 문제가 무엇인지 정확히 알리고, 비밀번호 재설정이 필요함을 강조할 것입니다. 이 경우 비밀번호 재설정은 필수입니다. 그냥 넘어가지 못하게 하려 합니다.”

라스트패스는 2022년부터 이어진 침해 사고로 불특정 사이버 공격자가 라스트패스의 클라우드 스토리지 서비스에 접속하는 걸 허용하기도 했었다. 이 때 라스트패스 고객 볼트 데이터를 백업해 놓은 것이 노출되기도 했었으며, 무엇보다 라스트패스 소스코드 역시 유출된 것으로 조사됐다.

3줄 요약
1. 비밀번호 프로그램 라스트패스, 비밀번호 설정 규정 변경.
2. 이제 마스터 비밀번호는 무조건 12자 이상이어야 함.
3. 험난한 한두 해 보낸 라스트패스, 이미지 쇄신하나.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>