Offcanvas

랜섬웨어

옥타·MS·삼성 턴 겁없는 10대... ‘랩서스’를 심각하게 봐야 할 이유

2022.04.11 Joan Goodchild  |  CSO
지난 3월 옥타(Okta) 데이터 침해 사건 이후, (용의자가 체포되자 휴가를 간다며 당분간 활동을 중단하겠다고 밝혔던) ‘랩서스(LAPSUS$)’ 해킹그룹이 얼마되지 않아 룩셈부르크의 소프트웨어 회사 글로반트(Globant)를 공격해 데이터를 유출했다고 발표하면서 ‘휴가’에서 복귀했다.
 
ⓒGetty Images

보도에 따르면 영국의 10대로 구성된 이 해킹그룹은 (지난 3월 30일) 텔레그램 채널에 글로반트를 해킹했다고 발표했다. 대기업에서 데이터를 훔치고, 원하는 몸값을 주지 않으면 (이를) 공개하겠다고 위협하는 것으로 알려진 랩서스는 글로반트의 데브옵스 인프라에서 데이터와 자격증명 등으로 구성된 70GB 용량의 자료를 탈취했다고 밝혔다. 랩서스가 해킹했다고 주장한 데이터에는 컨플루언스 및 지라를 포함한 이 회사의 아틀라시안 제품군에서 발견된 관리자 암호와 크루시블(Crucible) 코드 검토 도구 등이 포함돼 있다. 

낮은 수준의 기법 그리고 2가지 유형의 EDR
랩서스는 2021년 12월 처음 등장했으며, 삼성(Samsung), 임프레사(Impresa), 엔비디아(NVIDIA), 보다폰(Vodafone), 유비소프트(Ubisoft) 등 여러 대기업을 해킹해 유명세를 떨쳤다. 가장 최근에는 애플과 메타(페이스북 모회사)도 랩서스에게 당했다는 사실이 드러났다(애플과 메타는 사법당국을 사칭한 해커에게 속아 고객 정보를 넘겼고, 랩서스가 이 공격의 배후로 점쳐졌다). 

보안 연구원 브라이언 크렙스는 블로그에서 랩서스가 “낮은 수준의 기법이지만 영향력이 큰 방법(low-tech but high-impact methods)”을 사용하여 타깃에 액세스하는 방법을 간략하게 설명했다. 그에 따르면 여기에는 ‘EDR(긴급 데이터 요청)’ 남용이 포함된다. 범죄자들은 사법당국의 자격증명을 확보한 다음 통신업체, 인터넷 서비스 업체, 소셜 미디어 사이트 등에 사용자 데이터를 무단 요청한다. 요청된 정보가 법원의 명령을 기다릴 수 없는 긴급한 사안과 관련돼 있다고 하면서 일반적인 법적 검토 절차를 우회하고 민감한 데이터를 즉시 제공하도록 유도한다. 

크렙스는 “분명 해커들은 이러한 EDR을 수신한 기업이 이게 합법적인지 알 수 있는 빠르고 쉬운 방법이 없다는 사실을 알고 있다”라면서, “해커들은 불법적인 경찰 이메일 시스템 액세스를 악용하여 요청된 데이터가 즉시 제공되지 않으면 무고한 사람들이 크게 고통받거나 죽을 가능성이 있다고 경고하는 가짜 EDR을 보낸다”라고 언급했다. 

업계 전문가들은 ‘엔드포인트 감지 및 대응’ 관련 문제도 또 다른 유형의 EDR이라고 밝혔다. 옥타의 데이터 유출 사건을 분석한 결과, 랩서스가 서드파티 고객 지원 업체인 시텔(Sitel)과 함께 일하는 지원 엔지니어의 손상된 노트북을 통해 옥타의 네트워크에 침투한 것으로 나타났다. 이 접근은 범죄자들이 시스템에 액세스하는 일반적인 방식인 원격 데스크톱 프로토콜(RDP)을 통해 이뤄졌다.

보안 연구원 빌 데미르카피의 트윗에 의하면 랩서스는 대부분의 공격에 깃허브의 기성 도구를 사용했다. 그는 “프로세스 탐색기(Process Explorer)와 프로세스 해커(Process Hacker)를 다운로드 한 후 랩서스는 파이어아이(FireEye) 엔드포인트 에이전트를 종료하는 것만으로 해당 에이전트를 우회했다”라고 설명했다. 

문제를 일으키고 있는 ‘10대’
3월 말, 英 경찰은 16세에서 21세 사이의 랩서스 조직원 7명을 체포했다가 (수사 후) 석방했다. 하지만 이 체포에도 랩서스의 활동은 위축되지 않았다. 보안 전문가들은 나이가 어리다고 과소평가해서는 안 된다고 강조했다. 트러스티드섹(TrustedSec) 설립자 데이브 케네디는 트윗에서 “랩서스는 장난이 아니다”라면서, “옥타, 마이크로소프트, LG 등 많은 대기업이 해킹을 당했다. 랩서스는 탐지, EDR 등의 격차를 활용하고 있다. 클라우드 가시성과 기준 동작 이해가 매우 중요하다”라고 말했다. 

“랩서스를 유치하고 유명세만 쫓는 해킹그룹이라고 일축하기 쉽다. 그럴 수도 있다. 하지만 보안을 책임지는 모든 사람은 액세스를 훔치는 이러한 수준의 사회공학이 새로운 표준이라는 사실을 알아야 한다”라고 크렙스는 지적했다. 

보안 연구원 제이크 윌리엄스도 이에 동의하면서, “일각에서는 (랩서스를 두고) ‘그저 무질서한 아이들일 뿐이야’라고 깎아내리기도 한다. 하지만 랩서스가 누구이든 간에 (랩서스의 공격은) 굉장히 효과적이다. (랩서스가) 기업의 보안 통제를 망가뜨리고 있다면 이들이 누구인지는 중요하지 않다”라고 전했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.