최근 글로벌 기업들의 정보 해킹과 유출로 잘 알려진 해커그룹 '랩서스'의 공격 기법이 공개됐다. 이들은 다크웹(익명성을 보장한 암호화된 네트워크로, 주로 마약거래 등 범죄의 장으로 활용)과 악성코드를 활용, 공격 대상의 임직원 계정을 활용해 기업 기밀 탈취에 나선 것으로 드러났다.
SK쉴더스는 30일 엔비디아와 삼성전자 등을 해킹한 랩서스의 공격기법과 대응전략 분석 결과를 공개했다. SK쉴더스의 이번 분석은 랩서스 사회관계망서비스(SNS)인 텔레그램에 공개된 내용을 기반으로 진행됐다.
분석 결과에 따르면, 랩서스는 먼저 공격 대상 회사의 임직원 계정(ID) 정보 입수에 공을 들였다. 해킹의 출발점이자 핵심 열쇠인 임직원 계정만 확보되면 회사 시스템에 접근, 내부 정보를 탈취하는 것은 손쉬웠기 때문이다.
랩서스는 △다크웹을 통해 공격 대상의 임직원 정보를 구매하거나 △악성코드가 포함된 이메일 등 다양한 통로의 해킹 공격으로 계정 정보를 습득했다. 랩서스는 해당 계정으로 접근 권한까지 확보, 공격 대상의 사용자 컴퓨터(PC)에 접속해 기밀정보를 빼냈다.
랩서스는 지난해 12월부터 활동에 나선 신흥 해커조직이지만, 이런 방식으로 엔비디아와 삼성전자, LG전자, 유비소프트, 마이크로소프트(MS) 등 글로벌 빅테크 기업을 공격해 단숨에 악명을 떨치는 해커그룹으로 성장했다. 최근에는 글로벌 보안 인증 서비스 제공업체인 옥타까지 침투, 현재 보안업계 소용돌이의 중심에 섰다. 특히 옥타는 유수의 글로벌 기업들을 고객으로 둔 보안업체인 만큼 업계에 미친 파장은 상당했다.
피해 기업들은 유출된 정보에 고객사와 회원 정보가 포함돼 있지 않다며 진화에 나섰지만, 유수의 기업도 해커그룹의 공격에 뚫릴 정도로 취약점을 노출한 것은 사실이다. 랩서스는 그래픽처리장치(GPU) 설계 기업 엔비디아의 최신형 제품 'RTX 3090Ti'의 설계도 등 중요 회로도와 자료를 탈취했고, MS에선 검색서비스 빙과 지도검색 서비스 빙맵스, 음성비서 서비스 코타나 등의 소스 코드를 탈취했다고 주장하고 있다.
해킹 피해를 원천 차단하기 위한 대응 방안도 제시됐다. 먼저 해킹 조직들의 정보수집 단계에서 피해를 예방하기 위해 다크웹을 주기적으로 모니터링하면서 이메일 악성코드 탐지와 차단까지 가능한 솔루션 구축이 필수다. 특히 꾸준한 증가세인 이메일 해킹 공격의 효과적인 차단을 위한 솔루션 마련이 시급하다는 지적이다.
또 랩서스가 이중인증이 적용되지 않은 컴퓨터(PC)를 노렸을 가능성이 높다는 점에서, 계정 사용 시 이중인증 사용이 적극 권고된다. "아무도 신뢰하지 않는다"는 '제로 트러스트' 기반의 보안 모델을 적용, 시스템 접속 시 인증절차와 신원 확인을 철저히 검증해야 한다는 것이다. 이는 해킹 피해를 당한 MS의 위협인텔리전스센터가 내놓은 대응 방안과도 결이 같다. MS는 모든 인프라에 접속하는 사용자에 대해 다중인증(MFA) 방식을 적용할 것을 당부한 바 있다.
SK쉴더스 관계자는 "랩서스 같은 해킹 조직이 한 기업을 집중적으로 공격할 경우 막아 내기가 쉽지 않다"면서도 "해커의 공격이 상시적으로 이뤄지고 있다는 전제하에 각 단계별 적절한 보안 솔루션을 도입해야 한다"고 강조했다.