디지털 금고 해킹: 라스트패스, 20만 달러 규모 암호화폐 절도 소송 직면…보안 위기 고조
사용자와 비밀번호 관리자 간의 취약한 신뢰를 보여주는 이 법적 다툼은 업계 전체를 재편할 수 있습니다.
디지털 은행 강도 사건과도 같은 상황에서, 한 익명의 암호화폐 투자자가 비밀번호 관리 회사인 라스트패스(LastPass)를 상대로 연방 소송을 제기했습니다. 이 투자자는 라스트패스의 보안 과실로 인해 도둑들이 자신의 디지털 지갑에서 20만 달러 상당의 이더리움(Ethereum)을 탈취할 수 있었다고 주장하고 있습니다. 워싱턴 서부 지방 연방 법원에 제기된 이 사건은 2022년 발생한 치명적인 데이터 유출 사태와 관련된 여러 법적 분쟁으로 이미 휘청거리고 있는 라스트패스에 또 다른 타격이 되고 있습니다.
금고의 역할에 실패한 암호화폐 보관소
자신의 귀중한 이더리움 지갑 시드 구문을 안전하다고 믿었던 디지털 금고에 보관했던 원고는 라스트패스가 2022년 보안 사고의 실제 심각성에 대해 사용자들에게 제대로 알리지 않았다고 주장합니다. 처음에는 제한적으로 보였던 이 유출은 결국 민감한 자격 증명이 포함된 암호화된 고객 금고 데이터의 도난으로 이어졌습니다.
이 사건에 정통한 한 사이버보안 전문가는 익명을 전제로 "단순히 돈을 잃은 문제가 아니라 근본적인 신뢰가 배신당한 것"이라며, "사용자들은 난공불락의 요새로 홍보된 곳에 가장 소중한 디지털 열쇠를 맡겼지만, 몇 달 동안이나 벽이 뚫려 있었다는 사실을 뒤늦게 알게 됐다"고 말했습니다.
소송은 라스트패스의 유출로 인해 공격자들이 원고의 시드 구문, 즉 암호화폐 보유 자산의 마스터 키를 얻을 수 있었고, 이것이 2024년 2월 절도로 이어졌다고 주장합니다. 법원 문서에 따르면, 현지 경찰 수사관들은 이 사건을 라스트패스 유출과 직접적으로 연결시켰습니다.
연쇄적인 보안 실패
2022년 8월, 한 엔지니어의 회사 노트북에 대한 무단 접근으로 시작된, 겉으로는 제한적으로 보였던 침해는 이제 보안 연구자들이 최근 들어 가장 중대한 데이터 유출 사건 중 하나로 묘사하는 상황으로 확산되었습니다.
법원 문서들은 우려스러운 시간 흐름을 보여줍니다. 공격자들은 먼저 소스 코드와 기술 정보를 빼냈고, 이 정보를 활용하여 2022년 11월까지 암호화된 고객 금고 백업에 접근했습니다. 라스트패스는 처음에는 금고 데이터가 안전하게 유지된다고 확신했지만, 이후 공격자들이 무차별 대입 공격을 통해 사용자들의 마스터 비밀번호를 성공적으로 추측할 경우 도난당한 정보를 해독할 수 있음을 인정했습니다.
유사 사례를 분석한 한 디지털 포렌식 수사관은 "여기서 발생한 기술적 실패는 다면적이었다"고 말했습니다. "라스트패스는 비밀번호를 보호하기 위해 PBKDF2 알고리즘의 반복 횟수를 100,100회만 사용했는데, 이는 보안 전문가들이 권장하는 업계 표준인 310,000회 반복에 훨씬 못 미치는 수준입니다."
이러한 기술적 결함은 공격자들이 마스터 비밀번호를 해독하는 데 필요한 계산 노력을 크게 줄였으며, 한 보안 연구원이 "취약한 암호화 표준과 불충분한 유출 공개가 결합된 완벽한 폭풍"이라고 묘사하는 상황을 만들었습니다.
고립된 사건에서 업계의 심판으로
최근의 소송은 라스트패스에 대한 늘어나는 법적 조치에 합류하고 있습니다. 보안 연구자들은 이제 150명 이상의 피해자로부터 발생한 3,500만 달러 이상의 암호화폐 절도를 라스트패스 유출과 연결시키고 있으며, 이는 정교한 위협 행위자들에 의한 조직적이고 대규모의 작전을 시사합니다.
라스트패스와 그 사모펀드 소유주인 프란시스코 파트너스(Francisco Partners), 엘리엇(Elliott)에게는 더욱 불길하게도, 최근 법무부 진술서는 1억 5천만 달러 규모의 암호화폐 탈취 사건을 해킹된 라스트패스 금고와 연결시켰습니다. 이는 회사가 이전에 고립된 사건으로 규정했던 것에 대해 연방 차원의 신뢰성을 부여하고 있습니다.
기관 투자자들에게 자문하는 한 디지털 보안 컨설턴트는 "우리가 목격하고 있는 것은 전통적인 비밀번호 관리자 보안 모델의 붕괴"라며, "암호화된 금고가 도난당하더라도 안전할 것이라는 가정은 치명적으로 틀렸음이 입증됐다"고 설명했습니다.
시장의 흔들림과 투자 전환
이번 사태의 여파는 라스트패스 자체를 넘어 광범위하게 퍼지고 있습니다. 이 사건은 비밀번호 관리 업계 전반의 보안 위험에 대한 광범위한 재평가를 촉발했으며, 투자자와 사용자들은 다른 보안 아키텍처를 기반으로 구축된 솔루션을 점점 더 선호하고 있습니다.
비트워든(Bitwarden)과 같은 오픈소스 대안들은 채택이 급증했으며, 최근 스톡홀름 주요 시장에 상장된 유비코(Yubico)와 같은 하드웨어 기반 보안 제공업체들은 라스트패스 사건 이후 전년 대비 40% 이상의 단위 판매량 증가를 보고했습니다.
한 기술 투자 분석가는 "시장이 위험에 대한 근본적인 재조정을 경험하고 있다"며, "자본은 독립적으로 감사될 수 있는 오픈소스 코드베이스를 가진 솔루션이나 암호화 키를 클라우드 서비스로부터 물리적으로 분리하는 하드웨어 기반 보안을 사용하는 솔루션과 같이 입증된 보안 솔루션으로 흘러가고 있다"고 언급했습니다.
표: 라스트패스 사업 모델 캔버스 요약 (2025년)
| 구성 요소 | 주요 내용 |
|---|---|
| 주요 파트너 | MSP(관리형 서비스 제공업체), 신원 확인 서비스 제공업체, 기술 파트너 |
| 주요 활동 | 제품 개발, 보안, 채널 판매, 고객 지원 |
| 주요 자원 | 클라우드 플랫폼, 보안팀, 브랜드, 지적 재산, 고객 기반 |
| 가치 제안 | 기업 및 개인을 위한 안전하고 쉬운 비밀번호 관리 |
| 고객 관계 | 셀프 서비스 온보딩, 전담 지원, 교육, 커뮤니티 |
| 채널 | 직접 판매, 파트너, 온라인, 앱 스토어 |
| 고객 부문 | 대기업, 중소기업(SMB), MSP, 개인, 가족 |
| 비용 구조 | R&D, 클라우드 운영, 지원, 영업/마케팅, 규정 준수 |
| 수익원 | 구독 (B2B, B2C), 추가 기능, 채널 수익 |
| 주요 제품 | LastPass Business, Teams, Premium, Families, Free Plan |
| 재무 (2025년) | 연간 예상 매출: 1억 4,940만 달러; 강력한 SaaS 마진, 수익성은 비공개 |
기술 부채의 상환 시점
소송은 유출의 심각성에 기여했다고 주장되는 특정 기술적 실패들을 강조합니다. 불충분한 암호화 표준 외에도, 원고들은 라스트패스의 백엔드 아키텍처가 치명적인 단일 실패 지점을 만들었으며, 한 데브옵스(DevOps) 엔지니어의 침해된 자격 증명이 궁극적으로 고객 금고 백업에 대한 접근을 가능하게 했다고 주장합니다.
비평가들은 또한 라스트패스가 패스키 기술 도입을 지연한 점을 지적합니다. 패스키는 주요 경쟁업체들이 이미 채택했던 비밀번호의 더 안전한 대안입니다. 라스트패스는 2024년 말에야 패스키 베타 지원을 출시했는데, 이는 경쟁업체들보다 훨씬 늦었으며 초기 유출 발생 후 2년이 넘는 시점이었습니다.
경쟁사의 한 전직 보안 임원은 "보안 회사들이 기본보다 성장을 우선시할 때 이런 일이 발생한다"며, "기술 부채는 조용히 쌓이다가 재앙적인 결과로 터져 나온다"고 말했습니다.
재정적 노출과 향후 전망
약 3천3백만 명의 개인 사용자와 10만 개의 기업 계정을 보유한 라스트패스는 상당한 재정적 위험에 직면해 있습니다. 업계 분석가들은 회사의 사이버 보험 보장액이 5천만 달러 미만으로 추정하고 있으며, 이는 법원이 다양한 소송을 다중 지구 소송으로 병합할 경우 법적 책임을 감당하기에 잠재적으로 불충분할 수 있습니다.
2021년 분사 거래로 회사를 인수한 라스트패스의 사모펀드 소유주들에게 재정적 계산은 점점 더 어려워 보입니다. 분석가들은 고객 이탈로 인해 연간 반복 매출이 20% 이상 감소할 수 있으며, 보상적 손해배상와 징벌적 손해배상을 모두 고려할 때 총 소송 합의금이 5억 달러를 초과할 수 있다고 예상합니다.
앞으로의 길: 승자와 패자
법적 절차가 진행됨에 따라 여러 주요 변화가 업계 지형을 형성할 것입니다. 2025년 3분기로 예상되는 다중 지구 소송 병합에 대한 법원의 결정은 증거 개시 절차를 가속화하고 합의 비용을 잠재적으로 증가시킬 수 있습니다. 2025년 4분기의 기업 고객 갱신 주기는 이탈률과 매출 영향에 대한 첫 번째 구체적인 데이터를 제공할 것입니다.
투자자들에게 이번 위기는 위험과 기회를 동시에 제공합니다.
- 유비코와 같은 하드웨어 보안 제공업체는 패스키 채택 가속화로 이득을 볼 수 있습니다.
- 오픈소스 금고