최근 해커조직 랩서스(Lapsus$)가 삼성전자를 해킹해 190GB에 달하는 기밀 데이터를 탈취했다고 주장했고, 이 주장이 사실로 확인되면서 업계가 발칵 뒤집혔다.
삼성전자는 특정 내부 회사 데이터의 보안 침해를 확인했으며, 랩서스의 공격 수법은 랜섬웨어로 추정된다. 한편 이번 사건은 랩서스가 엔비디아(Nvidia)의 서버에서 1TB에 달하는 데이터를 훔쳐 20GB의 문서 아카이브를 공개한 지 불과 일주일 만에 발생했다.
지난 3월 4일 이 랜섬웨어 그룹은 삼성 소프트웨어에서 C/C++ 명령의 스냅샷을 사용하여 데이터 탈취를 처음으로 공개했다. 이후 암호화, 접근 제어, 하드웨어 암호화에 사용되는 삼성의 트러스트존(TrustZone) 환경에 설치된 모든 트러스티드 애플렛(Trusted Applet; TA)의 소스코드를 언급하면서 이번 데이터 해킹 사건을 설명했다.
아울러 랩서스는 탈취한 데이터를 3개의 토렌트 파일로 압축하여 올렸다. 이 3개의 파일을 합친 용량은 190GB에 이른다. 블리핑 컴퓨터(Bleeping Computer)에 따르면 이 토렌트에는 3개의 아카이브 각각에 어떤 콘텐츠가 담겼는지 소개하는 간략한 설명이 포함돼 있다.
• ‘1부(Part 1)’에는 보안(Security)/디펜스(Defense)/녹스(Knox)/부트로더(Bootloader)/트러스티드앱스(TrustedApps) 및 기타 여러 항목의 소스코드와 관련 데이터가 포함돼 있다.
• ‘2부(Part 2)’에는 기기 보안 및 암호화에 관한 소스코드와 관련 데이터가 포함돼 있다.
• ‘3부(Part 3)’에는 모바일 디펜스 엔지니어링(mobile defense engineering), 삼성 계정 백엔드(Samsung account backend), 삼성 패스 백엔드/프론트엔드(Samsung pass backend/frontend), SES 등 삼성 깃허브의 다양한 리포지토리가 포함돼 있다.
3월 7일(현지 시각) 블룸버그에 보낸 성명에서 삼성 대변인은 보안 침해가 발생했다고 시인했다. 삼성전자는 “특정 내부 회사 데이터와 관련된 보안 침해가 있었다”라면서, “확인한 결과 유출된 데이터에는 갤력시 기기 작동과 관련된 일부 소스코드가 포함돼 있지만 소비자나 임직원의 개인정보는 포함돼 있지 않았다”라고 밝혔다.
이어서 ”현재 회사 비즈니스와 고객에 미치는 영향은 없는 것으로 파악되고 있다. 이러한 사고를 방지하기 위한 조치를 시행했으며, 앞으로도 고객에게 중단 없이 서비스를 제공할 것”이라고 덧붙였다. ciokr@idg.co.kr