맥북프로 터치 바를 통한 '라스트패스(LastPass)' 비밀번호 노출 주의 필요

2016. 11. 22. 18:03    작성자: ONE™

맥북프로의 터치 바를 통해 '라스트패스(LastPass)'의 마스터 비밀번호가 외부에 노출될 위험이 있는 것으로 알려졌습니다.

라스트패스는 즐겨찾는 웹 사이트를 클릭만으로 로그인할 수 있는 비밀번호 관리 서비스입니다. 그동안 웹 브라우저 플러그인 형태로 맥을 지원하다가 지난해 맥에서 네이티브 방식으로 작동하는 애플리케이션을 선보인 바 있습니다. 앱을 실행한 뒤 '마스터 비밀번호'만 입력하면 라이브러리가 열리며 모든 로그인 정보를 열람할 수 있죠.

소프트웨어 엔지니어인 '대리언 무디'는 터치 바를 통해 라스트패스 마스터 비밀번호와 관련된 내용이 유출될 수 있다고 지적했습니다. 앱을 열고 마스터 비밀번호를 입력하기 시작하면 이를 유추할 수 있는 텍스트가 터치바에 나타난다는 것입니다.

이 같은 문제가 일어나는 이유는 라스트패스 측의 실수와 macOS의 입력 제안 기능의 합작품입니다. macOS는 문장을 쓸 때 단어를 자동으로 완성하는 것을 돕는 '입력 제안'이라는 기능을 제공하는데요. 사용자가 입력한 글자의 패턴을 운영체제가 감지한 뒤 미리 완성된 텍스트를 선택할 수 있게 해 입력 수고를 덜어줍니다. (iOS에서도 지원되는 기능이죠.) 신형 맥북프로는 터치 바를 통해서도 자동완성 텍스트를 제시합니다.

결국 앱을 제작할 때 로그인 정보 등 민감한 내용을 다루는 암호 필드는 입력 제안 기능이 작동하지 않게 해야 하는데, 라스트패스 개발팀은 이러한 부분을 간과한 듯합니다. 물론 타인이 터치 바에 비친 텍스트를 보려면, 맥북프로 주인이 마스터 비밀번호를 입력할 때 바로 옆에 있어야 하고, 마스터 비밀번호 자체도 복잡성이 낮아야 하는 두 경우의 수를 모두 만족시켜야 합니다.

그럼에도 누구보다 보안에 신경 써야 할 업체가 보안을 소홀히 했다는 지적은 피하기 어려워 보이긴 합니다. 이미 1Password 같은 경쟁 프로그램이나 사파리, 크롬 등은 마스터 비밀번호나 로그인 정보 등을 입력할 때는 자동완성 텍스트를 표시하지 않습니다.

이 같은 내용은 트위터 이용자들이 라스트패스 고객지원 계정에 보낸 메시지를 통해 알려지며 사용자들의 관심을 끌고 있는데요. 일단 라스트패스 측도 맥 애플리케이션 개발팀에 해당 사안을 전달했다고 하니 후속 업데이트에서 문제가 해결될 것으로 보입니다.

라스트패스가 패치를 내놓을 때까지, 또는 다른 앱에서 같은 문제가 나타나 걱정 되는 분은 터치 바에 한해 자동완성 기능을 끌 수 있습니다. 시스템 환경설정 > 키보드 > 텍스트 탭에서 'Touch Bar 입력' 상자의 체크를 해제하기만 하면 됩니다. (터치 바가 장착된 맥북 프로에서만 옵션이 표시됩니다.) 단, 이렇게 설정을 바꾸면 일반 텍스트를 입력할 때도 터치 바를 통해 자동완성 텍스트를 고를 수 없게 된다는 단점이 있습니다. 보안을 중시할 것인지, 기능성을 중시할 것인지에 따라 알맞은 설정을 선택하시기 바랍니다.



참조
Twitter - @LastPassHelp

관련 글
온라인 암호관리 서비스 'LastPass', 맥 전용 소프트웨어 출시
맥용 1Password 6.5 업데이트... 신형 맥북프로의 터치ID∙터치바 지원
맥북프로 터치 바에 항상 F1, F2 등의 기능 키를 표시하는 방법과 사용자 맞춤 설정
맥북프로 터치바 팁과 트릭 15가지