'또'라는 단어가 제일 무섭습니다
비밀번호 관리자라는 게 뭐냐면요, 우리가 쓰는 수십 개 사이트의 아이디·비밀번호를 한 곳에 암호로 잠가서 보관해주는 프로그램이에요. 사이트마다 다른 복잡한 비밀번호를 외울 필요 없이, '마스터 비밀번호' 하나만 기억하면 나머지는 알아서 채워주는 거죠. 편하긴 정말 편한데, 대신 "내 모든 열쇠를 금고 하나에 넣어둔다"는 뜻이기도 해요. 그래서 그 금고를 만드는 회사가 얼마나 믿을 만한지가 전부거든요.
LastPass는 그 분야에서 손꼽히는 서비스인데, 이번에 또 사용자들에게 데이터 유출 통지를 보냈어요. 여기서 핵심은 '또'예요. 한두 번이 아니거든요. 2022년에 있었던 대형 사고를 기억하는 분들이 많을 텐데, 그때가 진짜 뼈아팠어요.
2022년의 교훈, 그리고 왜 계속 반복되는가
2022년 사건을 잠깐 복기해볼게요. 공격자가 LastPass 직원(데브옵스 엔지니어)의 집에 있는 개인 PC를 노렸어요. 회사 서버를 직접 뚫는 대신, 사람을 우회한 거죠. 그 PC에 깔려 있던 개인 미디어 소프트웨어의 취약점을 파고들어서 결국 회사 내부 저장소 접근 권한까지 손에 넣었고, 사용자들의 암호화된 비밀번호 금고 백업본을 통째로 가져갔어요.
"암호화돼 있으면 괜찮은 거 아니야?"라고 생각할 수 있는데, 여기에 함정이 있어요. 금고 자체는 마스터 비밀번호로 잠겨 있지만, 사이트 URL 같은 일부 정보는 암호화가 안 된 채로 들어 있었고, 무엇보다 마스터 비밀번호가 짧고 단순한 사람들의 금고는 공격자가 시간을 들여 무차별 대입(가능한 조합을 하나하나 다 넣어보는 방식)으로 열 수 있었어요. 실제로 이 사건 이후 암호화폐 지갑이 털리는 피해가 줄줄이 이어졌고, 보안 연구자들은 "LastPass 금고가 풀린 게 원인"이라고 지목했죠.
이번 새 통지가 정확히 어떤 범위인지와 별개로, 같은 회사에서 유출 소식이 반복된다는 사실 자체가 더 큰 메시지예요. 보안은 단일 사건이 아니라 회사의 체질이라는 거죠. 한 번 신뢰가 깨진 인프라는 좀처럼 회복되지 않아요.
같은 분야, 다른 선택지들
비교해보면 이해가 빨라요. 1Password는 마스터 비밀번호 외에 '시크릿 키'라는 추가 무작위 키를 사용자 기기에서 생성해서, 설령 서버가 털려도 그 키 없이는 금고를 못 열게 설계했어요. Bitwarden은 아예 코드를 공개(오픈소스)해서 누구나 검증할 수 있게 했고, 직접 자기 서버에 설치해서 쓰는 셀프 호스팅도 지원해요. 최근엔 운영체제나 브라우저에 내장된 패스키(passkey, 비밀번호 자체를 없애고 기기 인증으로 대체하는 방식)로 넘어가는 흐름도 빨라지고 있고요.
포인트는 "비밀번호 관리자를 쓰지 말자"가 아니에요. 비밀번호를 다 똑같이 쓰거나 메모장에 적어두는 것보다는 관리자를 쓰는 게 백배 안전해요. 다만 어떤 회사의, 어떤 구조를 믿을 것인가를 따져봐야 한다는 거죠.
한국 개발자에게 주는 시사점
실무 관점에서 이 사건이 주는 교훈은 두 가지예요. 첫째, 공격은 가장 약한 고리를 노린다는 거예요. 회사 방화벽이 아무리 단단해도 직원 개인 PC가 뚫리면 끝이거든요. 우리가 만드는 서비스도 마찬가지라, 재택 환경·개인 기기·외주 협력사 같은 '경계 바깥'을 항상 의심해야 해요.
둘째, 암호화는 만능이 아니라는 점이에요. "DB는 암호화돼 있으니 괜찮아"가 아니라, 키 관리는 어떻게 되는지, 마스터 비밀번호의 강도 정책은 충분한지, 메타데이터(부가 정보)까지 보호되는지를 봐야 해요. 개인적으로는 마스터 비밀번호를 길고 무작위한 문장형으로 바꾸고, 2단계 인증을 반드시 켜두고, 정말 민감한 자산(특히 암호화폐 시드)은 비밀번호 관리자와 분리해 보관하는 걸 권하고 싶어요.
마무리
결국 한 줄로 정리하면, 모든 열쇠를 한 금고에 넣는 편리함에는 그 금고를 만든 회사의 보안 체질이라는 비용이 따라온다는 거예요. 여러분은 지금 쓰는 비밀번호 관리자, 정말 믿고 계신가요? 아니면 이참에 패스키나 다른 서비스로 갈아탈 때가 됐다고 보시나요?
🔗 출처: Hacker News