보안 연구원들이 LastPass 비밀번호 관리자의 Android 앱에서 7개의 추적기를 발견했습니다.
요즘 앱에 추적기가 감염되었다는 소식을 듣는 것은 드문 일이 아닙니다. 이러한 현상의 일반적인 이유 중 하나는 데이터에 대한 가치가 높아졌기 때문입니다. 광고 회사부터 사이버 범죄자에 이르기까지 다양한 주체들이 데이터를 수집하고 사용하는 방법을 점점 더 찾고 있습니다. 사람들은 보통 다른 앱의 추적기를 신속하게 식별하고 차단하지만, 비밀번호 관리자에 대해서는 그렇게 세심하지 않습니다. 이는 비밀번호 관리자가 프라이버시의 등대로 여겨지기 때문입니다. 따라서 일부 비밀번호 관리자가 실제로 앱에 추적기를 허용함으로써 사용자의 프라이버시를 노출시킨다는 사실을 발검하는 것은 더욱 불안하게 만듭니다.
LastPass란 무엇인가?
LastPass는 사용자가 비밀번호와 사용자 이름을 생성, 저장 및 쉽게 검색할 수 있게 해주는 비밀번호 관리자입니다. LastPass의 몇 가지 장점은 편리하고 시간을 절약하며 사용자 이름과 비밀번호를 저장하는 더 안전한 방법을 제공한다는 것입니다. 노트북에 이러한 정보를 저장하는 대신, LastPass는 더 나은 가상의 대안을 제공합니다.
비밀번호 관리자의 일반적인 개념은 사용자가 비밀번호를 저장할 수 있도록 돕는 것입니다. 그러나 이를 달성하는 경로는 앱마다 다릅니다. LastPass의 경우, 모든 비밀번호는 가상 금고에 저장됩니다. 사용자만이 금고를 여는 마스터 비밀번호를 가지고 있습니다.
LastPass는 비밀번호를 잠그고 서버에 저장합니다. 앞서 언급했듯이, 이것은 마스터 비밀번호로만 접근할 수 있습니다. 회사 자체도 이 비밀번호나 클라우드 저장소의 내용에 접근할 수 없습니다. 이는 사용자가 마스터 비밀번호를 잃어버리면 영원히 자신의 금고에 접근할 수 없게 된다는 것을 의미합니다.
LastPass는 대부분의 기기 유형에서 사용할 수 있습니다. 따라서 Android, iOS, macOS, Linux 및 기타 기기에서 LastPass를 다운로드하여 사용할 수 있습니다. 또한 크롬용 확장 프로그램도 제공합니다.
LastPass의 기능
LastPass의 독특한 기능 중 일부는 다음과 같습니다:
1. 자동 비밀번호 생성
LastPass를 사용하면 온라인 계정을 위한 새롭고 안전한 비밀번호를 쉽게 생성할 수 있습니다. 예를 들어, Facebook이나 Instagram 비밀번호를 변경하고 싶다면, 뚫을 수 없는 비밀번호를 직접 생각해내야 할 걱정이 없습니다. LastPass 앱에서 “Auto Change Password”를 찾아 탭하면 LastPass가 비밀번호를 변경하고 안전하게 저장해 줍니다.
2. 신용카드 정보 저장
LastPass 플랫폼에 신용카드 정보 및 기타 민감한 데이터를 안전하게 업로드할 수 있습니다. 신용카드, 보험 정보 등과 관련된 정보를 저장하기 위한 양식이 있습니다. 심지어 이러한 항목의 사진을 저장하는 것도 가능합니다. 필요할 때 이러한 데이터를 쉽게 검색할 수 있습니다.
3. 비밀번호 공유
기기 간에 비밀번호를 공유할 수 있습니다. 자신의 기기이든 다른 사람의 기기이든 상관없습니다. 예를 들어, 비밀번호를 다른 사람에게 보내야 할 경우, 플랫폼에서 안전하게 할 수 있습니다. 또한, 심각하게 불구가 되었을 경우, 신뢰할 수 있는 사람이 접근하여 비밀번호를 검색할 수 있습니다.
LastPass 앱에서 발견된 7개의 추적기
일반적으로, LastPass는 어떤 비밀번호 관리자보다도 최고의 기능을 갖추고 있습니다. 이러한 기능들은 사용자들이 그들의 제안을 따르도록 유도해야 합니다. 그러나 최근에 비밀번호 관리자의 Android 버전에 7개의 추적기가 내장되어 있다는 사실이 발견되었습니다. 이것은 분명히 사용자들이 앱에 대해 가지는 신뢰 수준에 영향을 미칠 것입니다.
문제는 LastPass가 무료 서비스를 크게 제한한다고 발표했을 때 시작되었을지도 모릅니다. 하지만, 더 충격적인 발견은 이 앱이 추적기의 존재로 인해 사용자의 보안을 위협할 수도 있다는 것이 드러났습니다.
이 발견은 기자 Mike Kuketz가 수행한 치열한 연구 끝에 나왔습니다. 발견된 7개의 추적기 중 4개는 Google에서 온 것입니다. 이 Google 추적기들은 실제로 분석과 충돌 보고를 처리합니다. 또 다른 하나는 Segment라는 회사에 속해 있으며 마케팅에 사용되는 데이터를 수집합니다. 나머지 두 개의 추적기 출처에 대한 식별 정보는 없습니다.
Kuketz는 이 트래커들이 실제로 사용자의 비밀번호를 제3자에게 전송한다는 증거가 없다고 밝혔습니다. 트래커가 접근하는 데이터의 분석에 따르면, 사용자의 휴대폰 제조사와 모델에 대한 세부 정보를 전송합니다. 또한, 사용자가 생체 보안을 사용하는지에 대한 정보도 전달합니다. 이러한 것들이 구체적인 데이터 유출로 이어지지 않을 수 있지만, 사용자의 개인 정보를 보호해야 하는 앱에서 이러한 것들의 존재는 그럼에도 불구하고 불안감을 줍니다. 더욱이, 제3자의 존재는 침입과 침해의 가능성을 증가시킵니다. 사용자들이 처음부터 이 사실을 알았다면 앱을 사용하기로 결정했을지 의심스럽습니다.
LastPass의 대변인은 앱에 트래커가 있는 이유를 명확히 하려고 시도했습니다. 사용자의 민감하거나 식별 가능한 개인 정보는 추적되지 않는다고 밝혔습니다. 또한 생성된 데이터는 앱의 기능을 개선하기 위한 것이라고 덧붙였습니다. 마지막으로, 대변인은 사용자가 원할 때 언제든지 분석에서 탈퇴할 수 있다고 말했습니다.
LastPass 대안 앱
최근 LastPass와 관련된 폭로를 바탕으로 사용자가 U턴을 하고 싶어하는 것은 이해할 수 있습니다. 그런 경우에는 1Password가 실현 가능한 대안입니다. 1Password는 오랫동안 LastPass와 경쟁해왔습니다. 두 비밀번호 관리자 모두 사용자의 비밀번호와 사용자 이름을 안전하게 보관할 수 있는 유사한 기능을 제공합니다. 더욱이, 연구에 포함되었고 그 결과 내장된 추적기가 없다는 것이 밝혀졌습니다.
결론
LastPass 비밀번호 관리자에 추적기가 내장되어 있다는 발견은 분명히 실망스러운 일입니다. 그러나 사용자는 앱 설정을 변경하여 분석에서 쉽게 선택 해제할 수 있습니다. 또는, 그러한 사용자는 LastPass의 대안을 탐색할 수 있습니다.