---
title: "LastPass '백업 생성' 링크 클릭 금지 — 마스터 패스워드 탈취 피싱임"
published: 2026-01-21T23:47:24.000Z
canonical: https://jeff.news/article/1056
---
# LastPass '백업 생성' 링크 클릭 금지 — 마스터 패스워드 탈취 피싱임

LastPass를 사칭해 '유지보수 전 24시간 내 볼트 백업' 하라는 피싱 이메일 캠페인이 발생. 링크 클릭 시 마스터 패스워드 탈취 사이트로 리다이렉트됨.

- LastPass가 고객들에게 피싱 이메일 경고를 발행함. "예정된 유지보수 전에 24시간 내 볼트를 백업하라"는 내용인데, 전부 사기임
- 이메일의 "create backup now" 링크를 클릭하면 AWS S3 → mail-lastpass[.]com으로 리다이렉트되는데, 마스터 패스워드를 탈취하도록 설계된 피싱 사이트임
- 긴급성을 유발해서 판단력을 흐리게 하는 전형적인 소셜 엔지니어링 수법. "LastPass는 절대 마스터 패스워드를 요구하지 않는다"고 재차 강조
- 타이밍도 계산됨 — 미국 마틴 루터 킹 주니어 데이 연휴 주말에 발송해서 신고·탐지를 늦추려는 의도
- 2달 전에도 "본인이 사망하지 않았음을 확인하라"는 피싱 캠페인이 있었음. LastPass가 워낙 공격 타깃이 되다 보니 끊이질 않음
- 2022년 데이터 유출 사고로 이미 120만 파운드 벌금을 맞은 전력이 있어서, LastPass 사용자라면 특히 주의가 필요함

> [!WARNING]
> LastPass는 유지보수 명목으로 볼트 백업을 요청하지 않음. 이런 이메일을 받으면 링크 클릭 없이 바로 삭제할 것

## 핵심 포인트

- 피싱 링크가 AWS S3 → mail-lastpass.com으로 리다이렉트
- MLK 연휴 주말 타이밍으로 탐지 지연 노림
- 2달 전에도 유사 피싱 캠페인 있었음
- 2022년 유출 사고로 120만 파운드 벌금 전력

## 인사이트

패스워드 매니저가 공격 대상이 되면 모든 크레덴셜이 한 번에 노출될 수 있어서 피싱 타깃으로 가치가 극도로 높음.