비밀번호 관리 서비스 대시레인(Dashlane)은 2026년 6월 초 해커들이 일부 고객의 암호화된 비밀번호 볼트를 탈취했다고 인정했다. 피해 규모는 약 20개 계정으로 파악됐다. 탈취된 볼트에는 비밀번호와 기타 민감한 자격증명 정보가 포함돼 있으나, 볼트 자체는 암호화 상태로 보관된다. 즉, 공격자가 볼트를 복호화하려면 각 계정의 마스터 패스워드를 별도로 알아내야 한다.
이번 침해의 방식은 대시레인의 2단계 인증(2FA) 시스템에 대한 무차별 대입(brute-force) 공격이었다. 해커들은 짧은 유효 시간 안에 모든 가능한 숫자 조합을 자동으로 대입하는 방식으로 일회용 코드를 탈취했다. 공격은 주말 사이에 발생했으며, 대시레인은 피해 고객들에게 개별 통보하고 재발 방지를 위한 조치를 취했다고 밝혔다. 다만 구체적인 방지 조치의 내용이나 공격 주체, 랜섬 요구 여부 등은 공개하지 않았다.

대시레인은 자사 서버나 시스템 자체가 직접 침해된 증거는 없다는 입장이다. 볼트가 암호화된 상태로 탈취됐다는 점은 마스터 패스워드가 취약한 고객에게 실질적 위험이 남아 있음을 의미한다. 비밀번호 관리자는 단일 마스터 패스워드로 수백 개의 계정 자격증명을 지키는 구조여서, 마스터 패스워드의 강도가 보안의 최후 방어선이 된다. 이번 사건은 특히 2단계 인증의 한계도 함께 드러냈다는 점에서 업계 전반에 시사점을 준다.
대시레인은 수천만 명이 사용하는 주요 비밀번호 관리 서비스 중 하나다. 이번 침해 사례는 마스터 패스워드를 강력하게 설정하고, 기기 기반 인증 등 보다 강한 2단계 인증 방식을 활용하는 것이 중요하다는 점을 다시 상기시킨다. 회사 측은 추가 문의에 응답하지 않았다.














