라스트패스, 파트너사 클루 해킹으로 고객 정보 유출

팩트라스트패스는 파트너사인 시장 조사 업체 클루의 시스템이 해킹당하면서 자사 고객 정보가 유출됐다고 6월 23일 밝혔습니다. 이번 사고로 유출된 정보는 고객의 이름과 전화번호, 이메일 주소, 물리적 주소 등입니다.

팩트해커들은 클루의 시스템에 침입해 고객 지원 사례 데이터와 영업 관련 자료까지 탈취했습니다. 라스트패스는 2024년 기준 3300만 명 이상의 사용자와 160만 명의 유료 고객을 보유하고 있습니다.

주장라스트패스는 이번 데이터 유출이 자사 시스템이 아닌 클루의 인프라에서 발생한 사고라고 설명합니다. 라스트패스 측은 자사의 핵심 인프라와 고객 비밀번호 저장소는 이번 사고의 영향을 받지 않았다고 강조합니다.

교차검증고객 지원 티켓에는 결제 문제나 계정 접근 지원 요청 등 민감한 개인 정보가 포함될 가능성이 큽니다. 과거 사례를 보면 이러한 티켓에 자격 증명이나 정부 발행 신분증 정보가 포함된 적이 있어 추가 피해가 우려됩니다.

팩트클루의 최고경영자 제이슨 스미스는 6월 12일에 해커들이 자사 시스템에 침입한 사실을 인지했습니다. 이번 공격의 배후를 자처한 해킹 및 갈취 그룹 이카루스는 탈취한 데이터를 공개하겠다고 협박하며 몸값을 요구합니다.

주장이카루스 그룹의 협박에도 불구하고 클루 측은 해커들과의 접촉 여부나 구체적인 피해 규모에 대해 공식적인 답변을 내놓지 않습니다. 라스트패스 역시 피해 규모 파악과 향후 대응 방안에 대한 투명한 정보 공개가 부족하다는 지적을 받습니다.

팩트이번 클루 해킹 사고로 라스트패스 외에도 해커원, 리코디드 퓨처, 타늄 등 여러 사이버 보안 기업이 데이터 유출 피해를 입었습니다. 보안 업계 전반의 공급망 보안 관리에 심각한 경고등이 켜진 상황입니다.

교차검증라스트패스는 2022년에도 대규모 데이터 유출 사고를 겪은 바 있습니다. 당시 해커들은 고객의 비밀번호 저장소를 탈취한 뒤 오프라인에서 무차별 대입 공격으로 암호화된 데이터를 해독해 암호화폐 도난 사건으로 이어졌습니다.

주장반복되는 보안 사고는 기업의 공급망 관리 체계에 근본적인 변화가 필요함을 시사합니다. 외부 파트너사의 보안 수준이 곧 자사의 보안 수준으로 직결되는 환경에서 철저한 검증 체계 구축이 시급합니다.

교차검증라스트패스 대변인은 이번 사고와 관련한 테크크런치의 질의에 즉각적인 답변을 하지 않았습니다. 기업의 소극적인 대응은 고객의 불안감을 키우는 요소로 작용합니다.

주장이번 사태는 보안 기업이 파트너사와의 데이터 공유 과정에서 어떤 보호 조치를 취해야 하는지 다시금 일깨워줍니다. 고객은 자신의 정보가 어디에 저장되고 어떻게 관리되는지 기업에 투명한 설명을 요구할 권리가 있습니다.

출처테크크런치(TechCrunch)의 6월 23일 자 보도와 관련 보안 업계 보고서를 교차 검증했습니다.