[서울=뉴시스] 오동현 기자 = 삼성전자, LG전자 등을 차례로 해킹한 '랩서스(LAPSUS$)'는 외부에 공개된 취약한 서버에서 유출한 사용자 계정정보(크리덴셜)을 주로 해킹 공격에 활용하는 것으로 추정됐다.

데이터 인텔리전스 기업인 S2W는 21일 "랩서스가 공개한 스크린샷 및 채팅 기록에는 유효한 VPN(가상 사설 네트워크), RDP(원격 데스크톱 프로토콜), AWS(아마존웹서비스) 및 마이크로소프트 클라우드의 애저 등의 크리덴셜을 통해 접속하는 비중이 매우 높았다"며 이 같이 밝혔다. 

즉,  다른 곳에서 유출된 아이디와 비밀번호 등 로그인 정보를 서버에 무작위 대입해 로그인 정보가 들어맞을 경우 해당 서버에서 정보를 탈취하는 이른바 '크리덴셜 스터핑(Credential Stuffing) 기법을 랩서스가 활용했다는 분석이다.

S2W의 분석에 따르면 랩서스 해킹 그룹은 2021년 5월부터 딥웹 포럼에서 활동을 시작한 것으로 추정된다. 특히 텔레그램에서는 브라질의 보건부에 대한 최초 데이터 유출을 시작으로, 글로벌 기업뿐만 아니라 국내 대기업들의 주요 데이터를 유출해 전 세계의 이목을 끌고 있다.

랩서스의 가장 큰 목적은 금전적 이득으로 추정되며, 대기업의 강력한 보안 게이트들의 허점을 파고들어 데이터를 유출시켰다는 점에서 상당한 실력자들로 구성된 것으로 추정된다. 구성원은 최소 5명 이상으로 추정되며 최근 텔레그램을 통해 직원을 모집하기도 했다.

랩서스가 활동하고 있는 채널은 '해킹 포럼'과 텔레그램 방이었는데, 최근에는 'Matrix(매트릭스)' 라는 서비스로 채널을 이동했다.

S2W 분석에 따르면 랩서스는 앞으로도 활발하게 활동할 가능성이 높다. 각 기업 및 기관에서는 해당 공격그룹에 대한 지속적인 인텔리전스(정보) 수집 및 대비가 필요하다.

'딥웹(일반적인 검색 엔진으로 찾을 수 없는 웹)', '다크웹(특수한 웹브라우저를 사용해야만 접근할 수 있는 웹)'을 활용한 해커들의 조직적이고 체계적인 공격은 단순하게 운영되는 보안 장비만을 이용해서는 대응하는데 한계가 있기 때문이다.

곽경주 S2W CTI부문 총괄 이사는 "기업은 다양한 위협 정보를 분석하고 처리할 수 있는 전문 인력들을 내부에 배치하고, 방어막을 촘촘히 해 전세계적으로 이슈가 되는 보안 사건 사고들에 나(우리 기업)와 관련된 정보들은 어떤 것이 있을지, 우리는 어떻게 대응할 수 있는지 끊임없이 시뮬레이션하면서 대응전략을 수립하는 것이 필요하다"고 강조했다.

앞서 S2W는 렙서스 공격을 사전 모니터링하며 고객사에 대응 방향을 공유한 바 있다.

곽 이사는 "데이터가 공식적으로 유출되기 전에, 신속히 관련 내용을 전달 받아 대비책 및 탈취 정보 확산에 대응을 할 수 있는 것은 그렇지 못한 상황과 비교했을 때 큰 차이가 있다"면서 "고급 보안 정보의 다자간 공유가 앞으로 더 중요해 질 것이라 확신한다"고 말했다. 

한편  S2W는 오는 28일 서울 코엑스에서 글로벌 위협 인텔리전스(CTI) 플랫폼 'Quaxar(퀘이사)' 발표 행사를 열고, 랩서스 해킹 그룹 관련 분석 내용 및 대응 방안을 공유할 예정이다.

S2W는 2018년 KAIST 네트워크 보안 연구진을 주축으로 설립된 데이터 인텔리전스 기업이다. 다크웹과 암호화폐 자체 분석 기술을 보유했으며 인터폴(INTERPOL)의 공식 파트너사다.


◎공감언론 뉴시스 odong85@newsis.com