Dashlane 금고 도난 알림이 이해 안 되나요? 혼자만이 아닙니다.

출처: Ars Technica

보안 권고문에 여러 모순점이 있다. Dashlane이 월요일에 발표한 이 권고문은 공격자가 20개의 암호화된 사용자 금고를 탈취했다고 경고하고 있다.

“2026년 5월 31일 일요일부터 외부 공격자가 특정 Dashlane 사용자 계정을 대상으로 무차별 대입 공격을 시작했습니다,” 라고 회사는 말했습니다. “공격 목표는 2단계 인증(2FA) 보호를 무차별 대입해 기존 사용자 계정에 새로운 기기를 등록할 수 있게 하는 것이었습니다.”

안녕, Dashlane, 혹시 계신가요?

이러한 2FA 요청을 받은 Dashlane 사용자는 일요일에 도착한 알림 화면을 아래와 같이 스크린샷으로 제공했다.

영국에 거주하는 이 사용자는 우려를 표시하며 지원 봇을 통해 Dashlane에 연락했지만, 왜 알림이 전송됐는지에 대한 구체적인 설명은 받지 못했다.

“그 후에야 Mastodon infosec에서 이 소식을 발견했어요, Dashlane 자체에서는 아니었죠,” 라고 사용자는 말했다. “무슨 일이 일어난 건지 지금도 파악 중입니다! 비밀번호를 먼저 입력하지 않았는데 어떻게 2FA 요청을 트리거할 수 있나요? 유료 고객으로서 이런 내용은 Dashlane으로부터 직접 들어야 한다고 생각합니다, Mastodon infosec가 아니라요.”

수많은 소셜 미디어 토론에서도 비슷한 입장을 가진 사용자들의 댓글이 이어지고 있다. 이들은 이 공격의 기본 메커니즘을 이해하지 못하고 있다. 일반적으로 2FA 보호는 인증 앱이 생성하거나 문자·이메일로 전송되는 일회용 비밀번호 형태이며, 보통 6자리이고 약 45초마다 바뀐다. 하지만 위 알림이 보여주듯, 해당 코드는 3시간 동안 유효했다.

무차별 대입은 가능한 모든 조합을 빠르게 시도해 정답을 찾는 시행착오 방식이다. 이런 전제하에 가능한 비밀번호는 1 백만 개 정도가 된다. 성공적인 침입을 위해서는 그 중 상당 비율을 3시간 안에 입력해야 한다.

이 정도 양의 시도를 짧은 시간 안에 Dashlane 서버에 쏟아낼 수 있는 자원은 존재하지만, 일반적인 무차별 대입 공격에서는 흔히 보이지 않는다. Dashlane은 사용자당 제출 횟수에 대한 레이트 제한을 명시적으로 언급하지 않았지만, “사용자 계정에 대한 시도량이 많아 보안 제어가 자동으로 공격 대상 계정을 잠갔다”는 문구로 보아 제한이 있었을 가능성이 크다. 설령 레이트 제한이 없었다 하더라도, 한 시간 안에 150 000건 이상의 시도가 들어오면 서버가 일시적으로 과부하되는 것은 상상하기 어렵지 않다.