라스트패스 사용자 대상으로 사망 증명서 접수를 사유로 접근을 요청하는 피싱 사기가 확산됐다. 공격자는 “수신인이 사망하지 않았다면 회신하라”는 비정상 문구와 함께 악성 링크를 클릭하도록 유도해 마스터 로그인 자격증명을 탈취하려 했다.

라스트패스는 이번 달 중순 시작된 캠페인에 대해 지난 금요일 고객 경보를 발송했다. 공격 이메일은 라스트패스 도메인을 위조해 회사 발신처럼 보이도록 꾸며졌다. 제목은 ‘Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)’였고, 본문은 “가족이 계정 접근을 위해 사망진단서를 업로드했다. 본인이 사망하지 않았다면 ‘아니다’라고 회신하라”로 시작했다.

이어 티켓 번호, 담당 에이전트 ID, 오픈 일시, 우선순위 등 허위 지원 케이스 정보를 포함했고, 요청 취소 링크를 눌러 마스터 비밀번호를 입력하도록 유도했다. 이메일 말미에는 “보안이 최우선이며 마스터 비밀번호를 누구와도 공유하지 말라”는 문구가 들어 있어 신뢰를 가장했다. 일부 사례에서는 발신자가 라스트패스를 사칭한 전화를 걸어 사용자가 사이트에 접속해 비밀번호를 입력하도록 유도했다.

라스트패스는 경보를 통해 마스터 비밀번호를 절대 요구하지 않는다고 재차 강조했다.

전문가 반응과 사회공학 수법

보서론 시큐리티 대표 데이비드 시플리는 이번 사례를 올해 본 가장 창의적인 피싱 미끼라고 평가했다.

반면, 노우비포 데이터 기반 방어 자문역 로저 그라임스는 “이보다 기이한 피싱 수법은 많다”라며 사회공학이 전체 성공 해킹의 90% 이상에 관여한다고 지적했다. 그라임스는 “예상치 못한 메시지가 평소 하지 않던 행동을 요구하면, 작업 전에 신뢰 가능한 공식 채널을 통해 요청의 진위를 확인하는 습관을 가져야 한다. 이 원칙만 지켜도 사회공학 공격의 99%를 피할 수 있다”고 조언했다.

기업 대응 : 다중 인증과 추가 검증 절차

보안총괄 책임자와 IT 관리자는 직원이 사용하는 비밀번호 관리자에 피싱 저항성이 높은 다중 인증을 적용하거나 추가 로그인 인자를 요구해야 한다. 앱 로그인에서 다중 인증이 불가능한 경우에도 비공개 추가 정보 등 별도의 검증 요소를 요구해 도난 자격증명만으로는 로그인할 수 없게 설정해야 한다는 지적이다.

사용자 교육과 함께 마스터 비밀번호와 다중 인증만으로는 신규 기기 추가나 계정 복구가 불가능하도록 추가 절차를 도입하는 방안도 제시됐다. 일부 비밀번호 관리 서비스는 시크릿 키 등 별도 보안 요소를 요구해 이러한 위험을 낮추고 있다.

IT 리더는 전사 공지를 통해 이번 사기 수법을 알리고, 라스트패스 공식 블로그를 인용해 의심스러운 이메일이나 통화 신고를 장려해야 한다. 라스트패스 경보에는 의심 IP 주소와 URL 등 침해지표가 포함됐고, 초기 피싱 사이트는 폐쇄된 것으로 전해졌다.

표적 범위와 공격 인프라

라스트패스 측은 이번 공격이 광범위한 사용자군을 겨냥하고 있다고 밝혔다. 기업 사용자 포함 여부는 특정하지 않았지만, 보안 책임자와 IT 관리자에게 ‘Legacy Request Opened’ 제목 메일을 클릭하지 말고, 라스트패스를 사칭한 이메일이나 전화를 즉시 보고하라고 권고했다.

라스트패스 공지에 따르면 이번 공격에 사용된 URL은 구글 위협 인텔리전스가 추적 중인 사이버 범죄 그룹 크립토카멜레온과 연계됐다. 이 그룹은 암호화폐 거래소와 이용자를 대상으로 암호화폐 탈취를 시도해왔으며, 2024년 4월에도 라스트패스를 악용한 피싱 도구를 배포한 전력이 있다. 공격자는 불릿프루프 호스팅 서비스 니스닉을 이용해 피싱 사이트를 운영하고, 직접 전화로 사회공학 공격을 병행하는 등 기존 행태와 유사한 수법을 반복했다.

사용자 신고 채널

라스트패스는 자사 제품을 겨냥한 피싱 이메일과 문자 캡처를 abuse@lastpass.com으로 전달해달라고 요청했다.
dl-itworldkorea@foundryco.com