3년 전 LastPass 해킹, 아직 끝나지 않은 암호화폐 도난 악몽

2022년 발생한 LastPass 데이터 유출 사고가 여전히 암호화폐 도난의 원인이 되고 있다는 사실이 밝혀졌습니다. 해커들은 탈취한 LastPass vault를 해독하여 약 3,500만 달러 상당의 암호화폐를 훔쳐낸 것으로 드러났습니다. 이 사건은 단순히 과거의 문제가 아니라, 현재 진행형의 위협임을 보여줍니다.

LastPass 해킹 사건의 재조명

2022년 8월, 당시 최고의 비밀번호 관리자 중 하나로 여겨졌던 LastPass가 데이터 유출 사고를 겪었습니다. 공격자들은 사용자의 비밀번호와 기타 중요한 정보를 저장하는 암호화된 폴더인 vault를 탈취하는 데 성공했습니다. vault는 마스터 비밀번호로 보호되지만, 공격자들은 이를 무차별 대입 공격으로 뚫으려고 시도했습니다.

시드 구문 탈취와 암호화폐 탈취

블록체인 분석 회사 TRM Labs의 최신 보고서에 따르면, 사이버 범죄자들은 시드 구문이 포함된 많은 vault를 해독하는 데 성공했습니다. 시드 구문은 12개 또는 24개의 단어로 이루어진 문자열로, 사용자가 암호화폐 지갑을 새로운 계정으로 로드하고 지갑 내의 모든 자금에 접근할 수 있도록 합니다. TRM Labs는 도난당한 암호화폐를 비트코인으로 전환한 다음, 믹싱 서비스(암호화폐 세탁 도구)를 사용하여 자금 세탁을 시도했다고 밝혔습니다.

지속적인 암호화폐 세탁

TRM Labs는 2024년 말부터 2025년 초까지 2,800만 달러 이상이 도난당해 세탁되었고, 2025년 9월에는 추가로 700만 달러가 공격과 연관되었다고 밝혔습니다. 또한, MetaMask에서 2023년 9월에 발표한 별도의 보고서에 따르면 해커들이 3,500만 달러를 훔쳤다고 밝혔으며, 이는 실제 피해액이 1억 달러에 육박할 수 있음을 시사합니다.

사용자의 경각심과 예방 조치

이번 사건은 비밀번호 관리자의 보안이 아무리 강력하더라도, 사용자의 보안 습관이 얼마나 중요한지를 강조합니다. LastPass는 당시 마스터 비밀번호의 길이와 복잡성, 반복 횟수 설정을 고려하여 마스터 비밀번호를 재설정할 것을 경고했습니다. 사용자는 강력하고 고유한 마스터 비밀번호를 사용하고, 2단계 인증을 활성화하며, 의심스러운 링크나 이메일을 클릭하지 않도록 주의해야 합니다.

맺음말

LastPass 해킹 사건은 사용자들에게 온라인 보안의 중요성을 다시 한번 일깨워주는 사례입니다. 강력한 비밀번호 관리 습관과 최신 보안 기술을 통해 개인 정보와 자산을 보호하는 것이 중요합니다. 과거의 사건을 교훈 삼아 더욱 안전한 디지털 환경을 만들어나가야 합니다.