글로벌 비밀번호 관리 서비스 라스트패스(LastPass)가 또다시 데이터 유출 사고를 겪었습니다. 이번에는 외부 파트너인 시장조사 기업 클루(Klue)의 시스템 침해로 인해 고객의 개인 데이터와 지원 케이스 데이터가 노출된 것으로 확인되었습니다. 라스트패스는 해당 사용자들에게 이메일을 통해 이 사실을 알리고, 유출된 정보가 피싱(phishing) 및 사회공학(social engineering) 공격에 악용될 수 있음을 경고했습니다.
이번 사고로 노출된 정보는 고객 이름, 전화번호, 이메일 주소, 실제 주소 등 표준 비즈니스 연락처 정보와 고객 관계 관리(CRM) 데이터, 지원 케이스 데이터, 영업 관련 데이터로 제한됩니다. 클루 플랫폼은 세일즈포스(Salesforce) 및 공(Gong) 시스템과 통합되어 있어, 이 과정에서 데이터 접근이 이루어진 것으로 보입니다. 다행히도 라스트패스의 핵심 서비스인 비밀번호 금고(password vault)는 이번 침해의 직접적인 영향을 받지 않았다고 회사 측은 밝혔습니다. 라스트패스는 사고 인지 즉시 클루에 대한 직원 접근 권한을 취소하고, 노출된 API 토큰을 교체하는 등 신속한 대응 조치를 취했으며, 법 집행기관에 통지하고 클루 및 세일즈포스와 협력하여 사고 범위를 조사하고 있습니다.
이번 유출은 라스트패스가 과거에도 여러 차례 보안 사고를 겪었던 전례가 있기에 더욱 주목받고 있습니다. 2015년에는 계정 이메일 주소와 비밀번호 힌트 등이 탈취되었고, 2022년에는 개발자 계정 침해를 통해 소스 코드와 기술 정보가 유출되었으며, 이를 이용해 고객 기록과 암호화된 비밀번호 금고가 포함된 클라우드 백업에 접근당하는 심각한 사고도 있었습니다. 이러한 반복적인 보안 문제는 비밀번호 관리 서비스의 신뢰성에 대한 근본적인 질문을 던지며, 사용자들에게는 다른 대안을 모색하거나 2단계 인증(2FA) 강화 등 개인 보안 수칙을 더욱 철저히 지킬 것을 요구하고 있습니다. 기업들 역시 공급망(supply chain) 보안의 중요성을 다시 한번 인식하고, 외부 파트너와의 데이터 공유 정책을 재검토해야 할 시점입니다.