삼성·MS 뚫은 해커집단 랩서스, 공격수법 드러났다

마이크로소프트가 최근 몇 달 사이 글로벌 IT 기업 여러 곳을 해킹해 악명을 높인 해커집단 '랩서스(Lapsus$)'를 쫓고 있다. 마이크로소프트도 랩서스에 뚫려 검색 엔진 빙·인공지능 비서 코타나 소스코드를 탈취당하는 수모를 겪은 만큼, 설욕을 위해 단단히 벼르고 있는 모양새다.

마이크로소프트가 지금까지 파악한 정보를 취합하면, 랩서스는 '계정 탈취를 통한 시스템 접근 권한 확보→내부 정찰 후 더 높은 권한의 계정 확보→데이터 유출 및 금전 갈취'의 패턴을 보였다.

이 과정에서 공격 대상을 교묘하게 속여 민감한 정보를 노출하게 만드는 소셜 엔지니어링, 대상자의 휴대전화 유심칩을 복사해 권한을 빼앗는 SIM스와핑, 대상자의 개인용 이메일 해킹 등 다양한 수법을 동원했다. 또, 기업이 사고를 인지하고 대책 논의를 하는 과정을 엿보며, 피해자 심리에 맞춰 협박 전술을 세우는 치밀함도 보였다.

■ MS "최근 몇 주간 랩서스 추적 중...소셜 엔지니어링 집중 활용"

마이크로소프트는 지난 22일(현지시간) 블로그를 통해 자사 위협 인텔리전스 센터(MSTIC)가 파악한 랩서스의 공격 '전술·기술·절차(TTP)'를 공개했다.

랩서스는 엔비디아, 삼성전자, LG전자, 마이크로소프트, 옥타 등 글로벌 대형 IT기업을 연달아 해킹해 악명을 높인 신생 해커그룹이다. 삼성전자를 해킹해 190GB에 이르는 갤럭시 소스코드를 빼냈고, LG전자에서는 임직원 이메일 계정 및 비밀번호 약 9만 건을 탈취했다. 또 엔비디아 시스템에 침입해 GPU 회로를 포함한 기밀 데이터 1TB를 훔치고, 마이크로소프트에서도 빙과 코타나 소스코드를 들고 나왔다.

랩서스에 대해 알려진 사실은 많지 않다. 랜섬웨어를 배포하지 않고, 순수하게 데이터를 탈취하거나 파괴 모델을 사용한다는 점, 초기에는 영국과 남미 기업을 대상으로 공격활동을 시작했지만 이제는 글로벌로 타깃을 확장했는 점, 다른 해커 그룹과 달리 자취를 감추려는 노력은 별로 하지 않고 오히려 소셜 미디어를 적극 활용한다는 점 정도가 알려진 특징이다.

랩서스의 TTP가 공개된 것은 마이크로소프트의 이번 포스팅이 처음이다. 블로그에 따르면 마이크로소프트 시큐리티팀은 최근 몇 주간 랩서스의 "대규모 사회공학적 해킹 및 갈취" 행위를 적극적으로 추적해왔다고 한다.

추적결과 마이크로소프트는 이들이 ▲휴대전화를 이용한 소셜 엔지니어링 ▲계정 탈취를 위한 SIM 스와핑 ▲공격 대상 기업 직원의 개인 이메일 계정에 접근 ▲크리덴셜 및 다중인증(MFA) 승인을 위해 공격 대상 기업의 직원과 파트너에 대가 지불 ▲공격 대상의 위기 커뮤니케이션 엿보기 등을 전술로 활용하고 있음을 확인했다.

특히 랩서스가 소셜 엔지니어링적으로 집중적인 노력을 기울이고 있다는 게 마이크로소프트의 분석이다. "표적으로 삼은 기업의 운영 정보를 수집하기 위해 직원, 팀 구조, 헬프 데스크, 위기 대응 워크플로우, 공급망 관계 등을 이용했다"고 설명했다.

예를 들면 이들은 계정을 재설정하기 위해 기업의 헬프데스크를 이용하기도 했는데, 이때 영어가 모국어인 발신자가 전화를 걸게 하고 사전에 수집한 프로필 정보를 읊으며 신뢰를 얻는 치밀함을 보였다.

마이크로소프트는 "이들은 도난당한 계정을 통해 높은 액세스 권한을 얻고, 데이터를 탈취하고 파괴적인 공격을 가해 금전을 갈취했다"며 "이런 전술과 목표는 이들의 행위가 절도와 파괴라는 동기에 의해 움직이는 사이버 범죄라는 점을 보여준다"고 꼬집었다.

■ 1단계 초기 접근권한 확보

마이크로소프트는 "공격자의 TTP와 인프라가 지속적으로 변화·진화하고 있다"고 전제하면서, 현재까지 관찰된 TTP 세트를 세부적으로 소개했다.

이들은 먼저 공격 대상 기업에 접근할 수 있는 권한 확보를 위해, 사용자 ID를 손상시킬 수 있는 다양한 시도를 벌인다.

랩서스는 ▲비밀번호와 세션토큰을 훔치기 위한 악성코드 '레드라인 스틸러' 배포 ▲지하 범죄포럼에서 크리덴셜 및 세션토큰 구매 ▲기업 소속 직원 또는 공급업체, 비즈니스 파트너 직원에게 비용을 지불하고 크리덴셜 획득 및 MFA 승인 ▲ 유출된 크리덴셜 검색 등의 방법을 통해 손상된 계정을 확보했다.

MFA 보안을 사용하는 경우 이용자가 스팸 메시지 등을 통해 MFA 요청에 동의하도록 유도했다.

경우에 따라 사용자의 (업무와 관련되지 않은) 개인 이메일 계정을 해킹해, 기업 시스템에 액세스하는 데 사용할 수 있는 추가 크리덴셜을 찾았다. 일반적으로 개인 이메일을 2차 인증이나 암호 복구에 사용한다는 점을 이용했다.

또 사용자의 모바일에 접근하기 위해 SIM 스와핑 공격을 수행하기도 했다. SIM 스와핑을 통해 모바일로 이뤄지는 인증을 통과할 수 있었다.

접근권한을 얻은 후에는 공격자의 시스템을 기업의 가상사설망(VPN)에 연결했다. 경우에 따라 조건부 액세스 요구 사항을 충족하기 위해 애저AD에 시스템을 등록하거나 가입했다.

■2단계 정찰 및 권한 상승

이들은 손상된 계정을 사용해 기업 네트워크에 대한 액세스 권한을 얻은 후, 액세스 권한을 확장하기 위해 추가 크리덴셜 또는 침입 지점을 찾기 위해 여러 전술을 사용했다는 게 마이크로소프트의 설명이다.

이들은 'AD 익스플로러'를 사용해 해당 네트워크의 모든 사용자와 그룹을 살펴보고, 어떤 계정이 더 높은 권한을 가지고 있는지 확인했다.

그런 다음 권한 상승을 위해 기업이 사용 중인 컨플루언스(협업툴), 지라(이슈 추적 솔루션), 깃랩(소스코드 저장소) 등에 존재하는 취약점을 악용했다.

경우에 따라 계정 재설정을 위해 헬프 데스크를 이용했다. "당신이 살았던 첫 번째 거리"나 "어머니의 결혼 전 이름" 같이 계정 복구에 많이 쓰이는 정보를 미리 확보하고, 헬프 데스크에 전화를 걸어 신뢰를 획득한 후 계정 권한을 상승시켰다. 이 전술은 특히 조직이 헬프 데스크 직원에게 권한을 높일 수 있는 능력을 부여하는 경우에 통했다는 게 마이크로소프트의 설명이다.

■3단계 유출과 갈취

마이크로소프트에 따르면 랩서스는 가상 사설 서버(VPS) 공급업체에서 전용 인프라를 운영하고 있고, 이그레스(서버 내부에서 외부로 나가는 트래픽) 포인트로 노드VPN을 활용하고 있다. 또, 애저AD가 수행하는 '불가능한 여행(impossible travel)'과 같은 탐지를 의식해, 지리적으로 공격 대상과 유사한 VPN 출구 지점을 선택하는 모습도 확인했다. 이렇게 위장한 후 민감 데이터를 VPN 또는 애저AD에 연결된 시스템에 다운로드 받았다.

유출과 갈취 단계에서 또 눈에 띄는 행위는 기업이 사고를 인지한 후 대응까지 지켜보고 있다는 점이다. 랩서스는 기업의 위기 커뮤니케이션 콜이나 내부 게시판(슬랙, 팀스, 컨퍼런스콜 등)을 들여다 봤다고 한다.

"기업의 사고 대응 워크플로우를 이해하기 위해서 이고 이를 통해 공격자들은 ▲피해 기업의 심리 상태 ▲침해 사고에 대한 기업의 인식 ▲갈취 요구를 시작할 위치를 파악했다"고 마이크로소프트는 설명했다.

랩서스는 훔친 데이터를 인질로 금전을 요구하기도 했고, 금전 요구 없이 훔친 데이터를 공개적으로 유출하기도 했다.

■대응 방법은? "단순한 MFA나 전화 인증 피해야"

마이크로소프트는 랩서스가 구사하는 공격 전술을 고려해, 피해를 예방할 수 있는 방법도 제시했다.

먼저 "이미 신뢰된 환경을 포함해 모든 인프라에서 들어오는 모든 사용자에 대해 MFA를 적용할 것"을 권고했다. "FIDO 토큰이나 MS 어센틱케이터 같이 보다 안전한 구현을 지원하는 방법을 활용해야 하고, SIM 스와핑 위험이 있으므로 전화 기반 MFA 방법은 피해야 한다"고 조언했다.