Offcanvas

랜섬웨어 / 악성코드

‘반짝 출현 후 사라진’ 10대 해킹단체 랩서스, 수법과 대비책은?

2022.08.12 Melanie Staudacher  |  CSO
미국 사이버보안 회사 테너블(Tenable)의 선임 연구 엔지니어 클레어 틸스가 회사 블로그에 해킹그룹 랩서스(Lapsus$)를 추적해 조사한 결과를 발표했다. 그는 랩서스의 공격 수법에 대해 “겁 없고, 터무니없으며 단순하기 짝이 없다”라고 평가했다.
 
ⓒDepositphotos

그럼에도 이들은 마이크로소프트, 삼성, 엔비디아, 보다폰(Vodaphone), 유비소프트(Ubisoft) 및 옥타(Okta) 같은 유명한 회사를 공격해 이목을 집중시켰다. 데이터를 탈취하거나 랜섬웨어로 피해 기업을 갈취하기도 했다. 

랩서스가 악명을 얻기까지
다른 사이버 범죄 조직과 달리, 랩서스는 오직 자체 텔레그램 채널을 통해 운영된다. 다크 웹에서 유출 사이트를 운영하지 않는다. 이 조직은 데이터를 갈취해 공개할 회사를 골라 달라며 커뮤니티에 물어보는 식으로 지금까지 텔레그램에 공격할 기업을 언급해왔다.

랩서스는 단순한 수법으로 파격적인 공격 방식을 전개해 많은 이를 당황케 했다. 예를 들어, 올해 초에는 고객 센터 제공업체 시텔(Sitel)의 컴퓨터 시스템에 침입하는 것을 시작으로 단계적인 해킹 전략을 구사했다. 이를 통해 시텔과 협력하는 클라우드 보안 업체 옥타에서 일하는 지원 엔지니어의 노트북까지 해킹해 결국 옥타의 기업 네트워크까지 침투했다.

틸스에 따르면, 랩서스 그룹은 다음과 같이 꽤나 보편적인 수법을 사용해왔다: 
 
  • 외부에 공개된 로그인 정보를 이용하거나 다크웹에서 로그인 정보를 구매하여 공격할 기업의 네트워크에 초기 접근 
  • 비밀번호 도용
  • 직원들에게 대가를 지급해 접근 정보 구매 
  • 헬프데스크의 도움을 받거나 인증요청을 대량으로 살포해 다중 인증 절차 우회 
  • VPN, 가상 데스크톱, 마이크로소프트 쉐어포인트, 가상 데스크톱 같은 애플리케이션에 로그인해 추가 크리덴셜 및 중요 정보 탈취 
  • 지라(Jira), 깃랩(GitLab) 및 컨플루언스(Confluence) 같은 소프트웨어의 미패치 취약점을 악용해 시스템 접근 권한 획득 
  • 노드VPN(NordVPN) 또는 무료 파일 삭제 서비스를 이용해 데이터 탈취한 뒤 리소스 제거
  • 피해자의 클라우드 접근 권한을 이용해 해킹 인프라를 구축하고 다른 모든 글로벌 관리자의 접근 권한 박탈 

용의자 체포 후 잠잠해진 랩서스, 안심하긴 일러 
비록 랩서스 조직의 개별 구성원을 식별하기는 어렵지만, 영국의 법 집행 기관은 해킹 경로를 추적해 이 범죄가 브라질과 영국에 있는 몇몇 십대들의 소행이라는 점을 밝혀냈다. 결국 영국 경찰은 올해 3월 랩서스 갱단으로 추정되는 용의자 7명을 체포했다. 틸스는 이후 랩서스가 '침묵을 지키고 있다'는 점을 보면 이 해킹그룹의 역량이 뛰어날지는 몰라도 조직으로서는 미숙한 듯 보인다고 말했다.

틸스의 말 대로 랩서스는 지난 몇 달 동안 이렇다할 행적을 보이지 않고 있다. (한편 시스코는 지난 5월 회사가 당한 IT 네트워크 침해 사건에 랩서스가 연루되어 있다고 주장했다). 틸스는 이가 몇몇 갱단의 신원이 노출되어 체포되었기 때문인지, 아니면 십대들이 단순히 흥미를 잃은 것인지 알 수 없다고 말했다.

그는 다음과 같은 경고로 보고서를 마무리했다.

"랜섬웨어 공격은 너무 복잡하거나 비용이 많이 들지 않는 한 절대 끝나지 않을 것이다. 기업은 이제 알려진 랜섬웨어 공격 수법에 대해 어떤 방어책을 갖추고 있는지, 어떻게 강화할 수 있는지, 그리고 현재 있는 위기 대응 계획이 효과적인지 재차 확인해야 한다. 랩서스와 같은 해커 그룹을 과소평가해서는 안 된다. 특히 이 그룹은 단순한 수법으로도 대기업을 해킹해 큰 피해를 줄 수 있다는 점을 입증했기 때문이다.” ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.