대시레인, 2단계 인증 무력화로 인한 고객 정보 유출 사고

팩트비밀번호 관리 서비스 대시레인이 최근 사이버 공격으로 일부 고객의 암호화된 비밀번호 저장소를 탈취당했다고 발표했습니다. 이번 공격으로 약 20명의 고객 계정이 해커의 접근에 노출되었습니다.

팩트해커들은 2026년 6월 2일 주말 사이에 자동화된 소프트웨어를 활용하여 대시레인의 2단계 인증 시스템을 공격했습니다. 이들은 인증 코드의 유효 기간 내에 가능한 모든 숫자 조합을 빠르게 입력하는 무차별 대입 방식을 사용했습니다.

팩트공격자들은 2단계 인증 보호 장치를 통과한 뒤 기존 사용자 계정에 새로운 기기를 등록하는 권한을 획득했습니다. 이를 통해 고객의 비밀번호와 민감한 정보가 포함된 암호화된 저장소 사본을 다운로드했습니다.

팩트대시레인은 사건 발생 직후 피해를 입은 약 20명의 고객에게 즉시 상황을 통보했습니다. 현재까지 해커의 신원이나 금전적 요구 사항은 확인되지 않았습니다.

교차검증대시레인은 자사의 시스템 자체가 직접적으로 침해당한 증거는 없다고 설명했습니다. 다만 해커가 2단계 인증을 무력화한 구체적인 기술적 경로는 아직 명확히 밝히지 않았습니다.

팩트탈취된 저장소는 암호화된 상태로 보관되어 있어 고객의 마스터 비밀번호 없이는 내용을 읽을 수 없습니다. 대시레인은 마스터 비밀번호가 단순할 경우 해커가 이를 해독할 위험이 있다고 경고했습니다.

팩트과거 2022년 라스트패스 해킹 당시에도 해커들은 취약한 마스터 비밀번호를 가진 고객의 저장소를 해독하여 암호화폐 개인 키를 탈취했습니다. 이는 비밀번호 관리 서비스의 보안 수준이 사용자의 디지털 자산 보호와 직결됨을 의미합니다.

교차검증비밀번호 관리 업체에 대한 데이터 유출은 드문 사례이나 발생 시 피해가 장기적이고 치명적일 수 있습니다. 마스터 비밀번호가 해독될 경우 저장된 모든 개인 정보가 노출될 위험이 존재합니다.

주장이번 사건은 2단계 인증조차 무차별 대입 공격에 뚫릴 수 있다는 점을 시사합니다. 비밀번호 관리 서비스가 보안의 최후 보루라는 인식에만 의존해서는 안 됩니다.

주장사용자들은 마스터 비밀번호를 더욱 복잡하게 설정해야 합니다. 보안 관리의 주체로서 스스로 주의를 기울이는 태도가 필요합니다.

주장보안 기업은 이번 사례를 계기로 2단계 인증 시스템의 기술적 취약점을 보완해야 합니다. 자동화된 공격을 차단할 수 있는 고도화된 인증 체계 도입이 시급합니다.

출처해당 내용은 테크크런치의 2026년 6월 2일 자 보도를 교차 검증했습니다. https://techcrunch.com/2026/06/02/password-manager-dashlane-says-hackers-stole-some-customers-password-vaults/