삼성·엔비디아 뚫은 해커조직, T모바일 시스템도 침입

랩서스, VPN 자격증명 암시장서 구입해 침입...T모바일 "손상된 시스템은 중요한 데이터 없는 것"

컴퓨팅입력 :2022/04/24 18:04    수정: 2022/04/25 09:47

삼성전자, 엔비디아 등 글로벌 IT 기업을 해킹해 악명을 높인 해커 조직 랩서스가 지난달 글로벌 통신사 T모바일의 보안 시스템도 뚫고 들어가 소스코드를 탈취한 것으로 확인됐다. 이번에도 직원의 가상사설망(VPN) 자격증명을 손에 넣은 후 내부 시스템까지 침입하는 수법을 섰다. T모바일 측은 시스템 칩입 사실을 인정하면서도, 해커들이 고객이나 정부 등 주요 정보에는 접근하지 못했다고 안심시켰다. 

23일(현지시간) IT전문 외신 더버지 등에 따르면 T모바일은 성명을 통해 사이버공격이 있었음을 공식 확인했다.

앞서 유명 사이버보안 전문가 브라이언 크렙스는 자신의 블로그(☞링크)에 랩서스 멤버들 간 메신저 대화를 입수했으며, 분석 결과 랩서스가 지난달 여러차례에 걸쳐 T모바일 시스템에 침입해 소스코드를 빼내온 것으로 보인다는 내용의 글을 게시했다. 공격 시점은 가장 활발하게 활동해온 랩서스 멤버들이 체포되기 직전 주라고 했다.

국제 해커그룹 랩서스가 T모바일 내부 시스템에 침입해 소스코드를 탈취했다.

이에 T모바일은 "수주 전 악의적인 행위자가 도용된 자격증명을 사용해 내부 시스템에 액세스하는 사건이 발생했다"고 공격 사실을 인정했다. 다만, "해커가 침입한 시스템에는 고객, 정부, 기타 유사한 민감 정보가 포함돼 있지 않다"고 했다.

크렙스가 입수한 메신저 대화에 따르면 랩서스는 러시아 기반 사이버범죄 암시장에서 T모바일 직원의 가상사설망(VPN) 자격증명을 구입해, 초기 접근권을 확보했다.

이후, T모바일 내부 고객관리시스템인 아틀라스, 협업툴 슬랙, 소스코드 리포지토리(저장소) 호스팅 서비스 비트버킷 등에 액세스할 수 있었다. 비트버킷에서는 3만 개 이상의 소스코드 리포지토리를 훔치는 데 성공했다.

하지만, 해당 소스코드가 저장된 아마존웹서비스(AWS) 서버는 미국 연방수사국(FBI)이 압수했다는 내용도 채팅에 포함됐다.

관련기사

랩서스는 지난 3월 한 달 동안 엔비디아, 삼성전자, LG전자, 마이크로소프트, 옥타 등 글로벌 대형 IT기업을 연달아 해킹해 악명을 높인 신생 해커그룹이다. 삼성전자를 해킹해 190GB에 이르는 갤럭시 소스코드를 빼냈고, LG전자에서는 임직원 이메일 계정 및 비밀번호 약 9만 건을 탈취했다. 또 엔비디아 시스템에 침입해 GPU 회로를 포함한 기밀 데이터 1TB를 훔치고, 마이크로소프트에서도 빙과 코타나 소스코드를 들고 나왔다.

이달 초 영국 시티오브런던 경찰은 랩서스의 데이터 탈취 행위에 연루된 혐의로 16세와 17세 청소년 두 명을 기소했다고 밝힌 바 있다.