비밀번호 관리 서비스 라스트패스(LastPass)가 또다시 데이터 유출 사고를 겪었습니다. 이번에는 마케팅 리서치 파트너사인 클루(Klue)의 시스템이 해킹당하면서 라스트패스 고객의 개인 정보가 유출된 것으로 확인되었습니다. 라스트패스는 영향을 받은 사용자들에게 이메일을 통해 해당 사실을 알리고 주의를 당부했습니다.
테크크런치(TechCrunch) 보도에 따르면, 이번 유출로 고객 이름, 전화번호, 이메일 주소, 실제 주소 등 일반적인 비즈니스 연락처 정보와 고객 관계 관리(CRM) 데이터, 그리고 고객 지원 관련 데이터 및 영업 관련 데이터가 노출되었습니다. 라스트패스는 클루의 플랫폼이 세일즈포스(Salesforce) 및 공(Gong) 시스템과 연동되어 있다고 설명했습니다. 하지만 가장 중요한 비밀번호 보관소(password vault)는 이번 침해의 영향을 받지 않았다고 강조했습니다. 라스트패스는 사고 인지 즉시 클루에 대한 직원 접근 권한을 취소하고, 노출된 API 토큰을 교체했으며, 사법 당국에 통보하고 클루 및 세일즈포스와 협력하여 상세 조사를 진행 중입니다.
라스트패스는 사용자들에게 유출된 정보를 활용한 피싱 공격이나 사회 공학적 시도에 대해 경계를 늦추지 말 것을 권고했습니다. 또한, 공격자와 관련된 IP 주소와 이메일 발신 도메인 정보를 공유하며 기업들이 시스템 내 관련 활동을 검색할 수 있도록 했습니다. 라스트패스는 2015년, 2022년에 이어 연이어 보안 사고를 겪고 있어 사용자들의 신뢰도 하락이 우려됩니다. 특히 2022년 사고 때는 암호화된 비밀번호 보관소와 함께 이름, 청구지 주소, 이메일 주소, 전화번호 등 암호화되지 않은 세부 정보까지 유출된 바 있어, 이번 사고가 사용자들에게 미칠 심리적 영향은 더욱 클 것으로 보입니다.
