삼성·LG·MS 이어 우버까지 깐 ‘랩서스’…대체 누구냐 넌!

등록 2022.09.27 06:10:00수정 2022.09.27 06:19:13

전용 텔레그램 채널로 데이터 탈취 홍보…다양한 공격 방식 선호

최소 5명 이상으로 구성 추정…조직원간 실력 편차

락스타게임즈 해킹한 17살 소년해킹도 조직원? 혹은 협력자?

사이버보안 대연합은 최근 보고서를 통해 해커 조직 랩서스가 재미와 조직의 위상 강화를 위해 사이버 공격을 시도하고 있다고 분석했다. (그래픽=뉴시스)

[서울=뉴시스]송종호 기자 = 지난 9월 락스타게임즈의 신작 '그랜드 테프트 오토(GTA) 6' 영상을 대량 유출한 17세 소년이 영국 경찰에 붙잡혔다. 이 해커는 차량 공유 서비스인 우버도 자신이 해킹했다고 주장하고 있다. 수사당국은 이 소년이 삼성전자, LG전자, 마이크로소프트(MS), 엔비디아 등을 연달아 해킹해 전세계적인 주목을 받았던 해커조직 랩서스와 관련이 있을 것으로 추정하고 있다.

그렇다면 랩서스는 대체 어떤 해킹조직일까. 이와 관련해 국내 보안 연구진들은 랩서스가 돈벌이보단 재미와 조직의 위상 강화를 목적으로 사이버 공격을 시도한다는 분석을 내놨다. 랜섬웨어 유포조직과는 성격이 다소 다르다는 것이다. 금전적 이득이 최우선인 랜섬웨어 조직과 달리 협상에 진지하게 임하는 대신 공격 대상의 정보를 유출하는 데 집중하고 있기 때문이다.

곽경주 S2W 사이버위협 인텔리전스 총괄 이사는 ‘2022 사이버보안 대연합 1차 보고서’를 통해 이같이 밝혔다.

한국인터넷진흥원(KISA)과 한국정보보호산업협회는 민간 주요기업과 사이버위협정보를 실시간으로 공유하기 위해 사이버보안 대연합을 운영하고 있다. 사이버보안 대연합은 한국최고보안책임자(CISO)협의회, 한국침해사고대응팀협의회, 사이버침해대응 민관합동협의회 등 8개 유관 협·단체와 1만9000여개의 회원사를 두고 있다.

전용 텔레그램 채널로 데이터 탈취 홍보…다양한 공격 방식 선호

보고서에 따르면 랩서스는 데이터 탈취 사실을 알리는 데 가장 신경을 쓰는 것으로 분석됐다. 곽 이사는 “랩서스가 지난해 12월부터 자신들만의 텔레그램 채널을 생성해 홍보 및 활동하고 있다”고 말했다. 렙서스는 그전까지는 다크웹을 통해 피해 기업에 대한 게시글을 올리고 협박을 시도해왔다.

랩서스는 지난해 5월 처음으로 등장했다. 이들은 세계 최대 유전업체 슐름베르거의 고객, 직원 정보를 탈취했다고 주장했다. 다만 이때 조직명은 랩서스가 아니라 'APT 777' 또는 '골드피쉬'라는 이름을 사용한 것으로 추정된다. 랩서스라는 이름이 처음 등장한 것은 이로부터 두 달 후 글로벌 게임 개발 및 유통업체인 EA의 소스코드를 탈취했다고 주장한 글에서였다.

랩서스는 지난해 10월 브라질 보건부를 해킹하고 협박을 위해 텔레그램 채널을 개설하면서 본격적으로 활동을 시작했다.

랩서스가 전세계적으로 알려진 건 올해 2월 삼성전자, LG전자, 마이크로소프트(MS), 엔비디아 등 글로벌 기업들을 잇따라 해킹해 내부 정보를 유출하면서다.

이들은 글로벌 기업 내부 시스템에 접근할 때 가상사설망(VPN)과 다단계 인증(MFA) 등 보안시스템을 우회해 주목을 받았다. 랩서스는 실제로 MS를 해킹할 때 직원들의 VPN 계정을 통해 접속할 수 있었으며, 접속 당시 누구도 알아채지 못했다고 주장했다. 또 계정 접속 후 2번이나 MFA를 다시 등록할 수 있었다고 밝혔다. 랩서스는 또 MFA를 우회하기 위해 안내창구 연락, 직원 메일 계정 접근, 내부 직원 또는 관계자로부터 자격증명 구매 등과 같은 다양한 전략을 시도하는 것으로 드러났다.

최소 5명 이상·조직원간 실력차…금전보다 명예욕?

곽 이사는 “(랩서스가) 최소 5명 이상으로 구성된 것으로 추정된다”리며 “초기 목적은 금전이었으나, 최근에는 자신들의 재미와 그룹의 위상을 위해 공격 대상의 정보를 유출하는 것으로 알려졌다”고 밝혔다.

랩서스 구성원 간 해킹 실력은 편차가 큰 것으로 추정된다. 곽 이사는 “정확한 내용이 공개되지는 않았지만. 이들 중 실력이 뛰어난 멤버도 있을 것”이라면서도 “엔비디아가 자신들에 대해 보복 공격을 한 것으로 착각한 이력이 있었던 것으로 보았을 때 일부는 사이버 공격 등에 대한 지식이나 실력이 부족한 것으로 보인다”라고 분석했다.

랩서스는 지난 2월 엔비디어 공격 이후, 엔비디아가 자신들의 서버를 랜섬웨어에 감염시켰다고 주장했다. 하지만 이들이 랜섬웨어에 감염된 것이 아니라 문서암호화(DRM)와 같은 파일을 잘못 실행해 암호화된 것으로 보는 시각이 많다.

전문가들은 랩서스를 여전히 요주의 사이버 해킹 조직으로 판단하고 있다. 곽 이사는 “랩서스는 본격적으로 활동한 지 약 5개월밖에 되지 않았지만, 현재 매우 큰 관심을 받고 있기 때문에 더욱 활발하게 활동할 가능성이 높다”고 지적했다.

◎공감언론 뉴시스 [email protected]