엔비디아 해킹으로 악명을 높인 국제 사이버범죄 집단 랩서스(Lapsus$)가 삼성전자에서 갤럭시 기밀 소스코드를 빼내, 온라인상에 공개하는 사건이 발생했다. 이번 사건으로 탈취·유출된 데이터는 190기가바이트(GB)에 이른다.
이 중에는 생체인증, 녹스 등 갤럭시 보안과 관련된 기능을 구현하는 프로그램의 소스코드도 포함됐다. 갤럭시의 보안 기능을 담당하는 소스코드가 유출됐다면, 일반 사용자들에게도 직접적인 보안 위협이 발생하는 것은 아닐까?
소스코드 공개 자체가 보안의 위협이 되진 않는다는 것이 보안 전문가들의 진단이다. 하지만, 만에하나 소스코드상에 취약점이 있을 경우 공격에 악용될 수 있는 만큼 빠르게 오류를 찾고 패치에 나서야 한다는 조언이 나온다.
■"설계도 공개됐다고 도둑 들어오는 건 아니다"...소스코드 공개와 보안 위협은 별개
사이버범죄집단 랩서스는 지난 5일 텔레그램 채널을 통해 '삼성의 기밀 소스코드'라며, 190GB에 달하는 데이터를 P2P 데이터 공유 방식 토렌트로 공개했다.
이후 지난 7일 삼성전자도 사내 공지를 통해 "최근 외부의 정보 탈취 시도를 인지해 즉시 대응 체제를 가동했다"는 글을 올리며, 해커에 의한 침해 사고 발생 사실을 확인했다.
랩서스가 삼성전자에서 빼내 유출한 데이터에는 최신 갤럭시 스마트폰에 적용된 내부 프로그램의 소스코드다. 여기에는 '생체 인식 잠금 해제 작업을 위한 알고리즘' '삼성 계정 인증 및 권한을 부여기술' '보안 플랫폼 녹스' 등 갤럭시 보안 기능의 핵심이라 할 수 있는 프로그램과 기술의 소스코드도 포함됐다.
일반 갤럭시 이용자들 입장에서 보면, 이번 사고로 개인 단말기에 대한 공격이 발생할 수 있는 것 아니냐는 우려가 생길만한 지점이다.
소스코드가 유출되면 보안도 뚫리는 것일까?
인증 전문 정보보호 업체 드림시큐리티의 배웅식 기술 담당 상무는 이런 질문에 "소스코드 공개 여부가 해킹 위협과 직접적으로 연관된 것은 아니다"며 "그러한 논리라면 이미 (소스코드가) 공개되어 있는 암호화 알고리즘은 아무도 사용하지 않아야 하는데, 그렇지 않다"고 설명했다.
김승주 고려대 정보보호대학원 교수도 "소스코드가 공개됐다고 해서 그것이 바로 해킹으로 직결된다는 논리가 맞으려면, 오픈소스로 되어 있는 모든 것은 다 보안이 깨져야 하는데 그렇지 않다"며 "소스코드가 공개된다 하더라도, 소스코드에 오류가 존재하지 않으면 해킹으로 연결되지 않는다"고 설명했다.
■"혹시 모를 취약점에 빠르게 찾고 패치하는 과정 필요"
쉽게 설명하면 이번 사고는 빌딩 설계도가 공개된 것과 비슷한 상황이다. 설계도가 공개 됐다고 해서 도둑이 빌딩에 침입할 수 있는 것은 아니다. 설계도의 공개 여부보다 빌딩에 보안장치가 잘 갖춰져 있느냐가 중요한 문제다. 빌딩에 보안장치가 잘 갖춰져 있다면 도둑이 설계도를 손에 넣어도 아무 소용이 없다.
하지만 설계도가 공개되면서 도둑이 보안이 허술한 지점을 더 쉽게 찾을 수 있게 됐다는 점은 우려해야 한다. 원래는 건물에 직접 가서 보안 장치가 어디있나 일일이 확인해야 했는데, 설계도가 있으면 보안 취약지점을 분석하는 시간이 단축된다. 도둑이 어떤 통로에는 보안장치가 없다는 사실을 더 빨리 찾아내서 그 부분을 뚫고 빌딩에 침입할 수 있다.
이번 사건의 경우에도 만에 하나 소스코드상에 취약점이 발견될 수 있다는 가정 아래, 신속한 대응이 필요하다는 게 전문가들의 의견이다.
관련기사
- 삼성전자 "갤럭시 소스코드 유출"...KISA에 침해 신고2022.03.07
- 국정원 "유출된 삼성 데이터, 국가핵심기술은 아니다"2022.03.07
- 엔비디아 털어간 해커 "삼성 기밀 190GB 유출"2022.03.05
- 엔비디아, 기밀 정보 털렸다...해커는 온라인에 유출 중2022.03.02
김승주 교수는 "삼성이 체크를 했더라도 미처 발견하지 못한 오류가 존재할 수도 있다. 또 일반적으로 해커들은 프로그램에서 소스코드를 유추하는 리버싱 과정을 거치고 그 소스코드를 가지고 취약한 부분을 찾는데, 소스코드가 공개됐으면 그 과정을 단축할 수 있기 때문에 취약점을 분석하는 시간 자체가 줄어들 수 있다"고 말했다.
이어 "따라서 평상시보다 좀 더 모니터링 체계를 강화할 필요가 있다"며 "버그바운티를 포함해 다양한 모니터링 제도를 동원해서 취약점을 찾고 고치는 조치를 취해야 한다"고 조언했다.