삼성전자, LG전자, 엔비디아가 동일 해커조직에 뚫렸다. 글로벌 IT 대기업들의 철통 보안을 무력화시킨 이들은 신흥 해커조직 랩서스(Lapsus$)다. 남미 기반으로 활동한다는 점 이외에 이들에 대해 알려진 사실은 많지 않지만, 이들이 공격 과정에서 노출한 단서를 모아보면 상당한 해킹 실력을 갖춘 소수정예 해커들로 구성됐으며, 아직 작은 규모의 조직일 것으로 추정된다.
인터폴이 악명 높은 국제 랜섬웨어 집단 레빌을 검거하는 데 결정적인 정보를 제공한 국내 사이버보안 인텔리전스 업체 S2W의 곽경주 CTI(Cyber Threat Intelligence) 그룹 총괄 이사를 온라인으로 만나 랩서스에 대해 들어봤다.
-랩서스는 원래 유명한 해커조직인가?
"아니다. 말그대로 혜성처럼 나타났다. 원래 잘 알려지지 않았고, (보안분석가들이) 별로 관심을 가지지 않았던 조직이다. 엔비디아를 해킹하면서 유명해지기 시작했다.
실력 좋은 해커들이 워낙 많으니까 랩서스가 엔비디아 해킹했을 때만 해도 '그냥 해킹실력이 있는 애들이구나' 정도로 생각했는데, 삼성전자까지 해킹한 것을 보고 엄청난 실력자라고 생각했다."
-실력이 얼마나 좋은 건가
"엔비디아나 삼성전자, LG전자 같은 대기업들은 다 보안이 2중·3중으로 걸려있다. 비밀번호를 몇 개씩 치고 들어가야 된다. 비밀번호만 알아서 되는 게 아니고, 내부망이라면 계정의 IP가 맞는지도 체크를 한다.
이걸 해킹했다는 건, 내부 보안 체계를 다 우회하고 들어갔다는 얘기다. 쉽게 말해서 시스템이 해커가 직원이라고 생각을 하게 만든 거다. 시스템이 지금 들어온 계정이 직원인지 외부에서 침입한 건지 식별하지 못하게 하고, 데이터를 들고 나온 것이다."
-글로벌 IT 대기업만 타깃해서 공격하는데...
"전자, 통신, 반도체 이런 회사를 공격해야 실력을 인정받을 수 있다고 생각하는 것 같다. 실제 실력도 있는 것 같다. 이렇게 짧은 시간에 이렇게 큰 기업들만 연속 해킹한 경우는 드물다."
-랩서스는 텔레그램 통해서 일반 대중의 호응을 유도하고 있다. 이런 과정에서 추적 단서를 흘릴 수도 있는데, 왜 이러는 건가?
"최근들어 해커집단들이 많이 그렇게 하고 있다. 작년부터 이런 경우가 많이 생긴 것 같다. 이렇게 해야 기사도 나고, 주목을 받는다는 걸 안다. 협상력을 얻으려는 것이다. 바깥에서 와글와글 시끄러운 가운데, 물밑으로는 조용히 협상을 하는 사례가 많다.
랩서스는 실제 텔레그램을 통해 조직원 한두 명에 대한 정보가 공개되기도 했다. 한 명은 국적이 영국이라는 사실도 공개됐다. 조직의 핵심이나 우두머리는 잘 잡히지 않는 편이고, 점조직처럼 돼 있어서 밑에 있는 조직원 한두 명이 잡혔다고 몸통이 드러나는 것도 아니라서 그렇게 할 수 있는 것 같다. 실제 잡힌 조직원들이 몸통을 모르는 경우도 많다."
-랩소스를 각국이 공조해서 잡으려는 움직임은 없나
"당연히 있다. 국내에서도 수사를 시작한 것으로 안다. 해외 공조도 당연히 있을 것이다."
-지금까지 파악한 정보들을 모아서 이 조직의 형상을 그려봤을 때, 랩서스는 어떤 조직으로 보이나
"조직의 규모는 커 보이지 않는다. 실력 있는 애들 몇 명이 운영하고 있는 것 같다.
콘티 랜섬웨어 같이 좀 유명한 랜섬웨어 그룹들은 운영하는 인프라도 굉장히 많고, 다크웹에서 조직원 리크루팅(채용)광고도 한다. 거의 기업처럼 운영된다.
그런데 랩서스는 텔레그램 채널에만 봐도 그냥 한두 명이 운영하고 있는 것 같다. 그런데 그 한두 명이 기술적으로도 굉장히 잘 아는 듯한 뉘앙스로 말을 한다. 전문적인 얘기를 그런 걸로 봐서는 몇 명의 전문적인 해커들이 운영하는 것 같다. 많은 조직원이 있는 것 같지는 않다. 조직 인프라도 그렇게 많지 않아 보인다."
-사이버범죄 집단이 점차 기업화 되는 추세에 있는데...
"콘티 랜섬웨어 같은 랜섬웨어 그룹은 진짜 비즈니스를 하고 있다. 파트너사도 거느리고 있고, 악성코드를 유포하는 운영자, 자금세탁을 해주는 전문가들도 아웃소싱 주고 있다. 랜섬웨어로 벌어들이는 수익이 수백억씩이다. 이들은 대기업화돼 가면서, 기업 같은 운영 체계가 잡혀 갈 수밖에 없다.
반면 랩서스는 아직 자기들끼리 동아리 같이 운영하는 느낌이다. 이들은 '우리 데이터 탈취했는데 어떻게 해야 될지 모르겠다' 이런 말을 텔레그램에 쓴다. 해킹은 잘하는데 비즈니스로서의 범죄는 아직 좀 미숙한 상태로 보인다. 하지만, 이들도 점점 전문화돼 갈 것으로 본다."
-기술적으로 이렇게 뛰어나면 어떻게 잡아야 하나
"미국에서는 수사기관들이 거대 랜섬웨어 조직을 잡기 위해 굉장히 공격적으로 작전을 펼친다. 해커조직의 서버를 해킹한다든가, 셧 다운시키기도 한다. 그래서 해커조직들도 이제 내부 보안에 굉장히 신경을 많이 쓰고 있다.
관련기사
- 삼성 털어간 그놈들, LG전자 직원 계정도 훔쳤다2022.03.22
- 엔비디아·삼성 해커 "MS 빙·코타나 소스코드 탈취"2022.03.22
- 삼성 해킹 파장…내 갤럭시는 괜찮을까?2022.03.08
- 국정원 "유출된 삼성 데이터, 국가핵심기술은 아니다"2022.03.07
또, 일명 방탄 호스팅이라고 하는, 수사기관에 협조 절대 안 하는 호스팅 업체들이 생기니까 범죄자들을 잡는 것이 점점 어려워 진다.
따라서 기술적으로만 접근해서는 잡기 어렵다. 심리적으로, 정치적으로 움직여야 한다. 해외 수사기관은 다크웹에 해커 조직이 내부폭로를 제보할 수 있는 페이지를 만들기도 한다. '랜섬웨어 그룹의 신원을 파악할 수 있는 근거를 주면은 비트코인으로 얼마를 보상해 주겠다'는 식이다."