[데이터넷] 전 세계 주요 기업을 잇달아 해킹하며 악명을 떨친 랩서스(LAPSUS$)는 5명 이상의 상당한 수준의 해킹 능력을 가진 실력자로 구성, 강력한 보안 게이트의 허점을 파고들었던 것으로 알려진다. S2W(대표 서상덕)는 21일 랩서스 해킹 그룹을 분석한 내용을 발표하면서 이들은 탈취한 계정과 외부에 공개된 취약한 서버 등을 이용해 침투했다고 설명했다.

이들이 공개한 스크린샷과 채팅 기록에는 유효한 VPN, RDP, AWS·애저 등 크리덴셜을 통해 접속을 하는 비중이 매우 높아, 외부에 공개된 취약한 서버와 유출된 크리덴셜을 주로 활용하는 것으로 추정된다.

이들은 2021년 5월부터 딥웹 포럼에서 활동을 시작한 것으로 추정되며, 텔레그램에서는 브라질 보건부에 대한 최초 데이터 유출을 시작으로, 글로벌 기업뿐 아니라 국내 대기업들의 주요 데이터를 유출했다. 이들은 해킹 포럼과 텔레그램 방에서 활동했으며, 최근에는 매트릭스(Matrix) 라는 서비스로 채널을 이동했다.

곽경주 S2W CTI부문 총괄 이사는 “데이터가 공식적으로 유출되기 전에, 신속히 관련 내용을 전달받아 대비책 및 탈취 정보 확산에 대응을 할 수 있는 것은 그렇지 못한 상황과 비교했을 때 큰 차이가 있다”면서 “고급 보안 정보의 다자간 공유가 앞으로 더 중요해질 것이라 확신한다”라고 말했다.

S2W는 랩서스가 앞으로도 활발하게 활동할 가능성이 높으며 각 기업 및 기관에서는 해당 공격그룹에 대한 지속적인 인텔리전스 수집 및 대비가 필요하다고 밝혔다. 딥웹 다크웹을 활용한 언더그라운드 해커들의 조직적이고 체계적인 공격은 단순하게 운영되는 보안 장비만을 이용해서는 대응에 한계가 있다. 해당 장비들을 효율적으로 운영할 수 있는 인텔리전스와 인력이 필요하다.

각 기업은 다양한 위협 정보를 분석하고 처리할 수 있는 전문 인력들을 내부에 배치하고, 방어막을 촘촘히 해 전세계적으로 이슈가 되는 보안 사건 사고에 자사 관련 정보가 어떤 것이 있을지, 어떻게 대응할 수 있는지 끊임없이 시뮬레이션하면서 대응전략을 수립해야 한다.

한편 S2W는 28일 서울 삼성동에서 글로벌 위협 인텔리전스(CTI) 플랫폼 ‘퀘이사(Quaxar)’ 발표 행사를 열고 랩서스 해킹에 대한 구체적인 내용도 공개할 예정이다.

김선애 기자 다른기사 보기