​해킹 통한 협박...사이버공격 수익 극대화한다

2022-03-08 11:07
엔비디아, 삼성전자 등 잇달아 해킹피해 입어
해킹 조직 랩서스, 정보 유출하겠다며 협박
공격 전술과 대상 바꾸며 수익성 높이는 추세

[사진=게티이미지뱅크]

글로벌 대기업을 노린 사이버공격이 지속되고 있다. 특히 해킹 조직은 유출한 데이터 중 일부를 지속적으로 공개하면서 협박 수위를 높여가고 있다.

8일 보안업계에 따르면 올해 들어 도요타, 엔비디아, 삼성전자 등 주요 글로벌 대기업이 사이버공격으로 인한 정보유출 피해를 입었다. 보안전문 매체 블리핑컴퓨터는 4일(현지시간) 삼성전자 데이터 190GB가 유출됐다고 보도했으며, 7일(현지시간) 삼성전자가 갤럭시 기기의 소스코드 유출을 공식적으로 확인했다고 추가 보도했다. 공격조직으로는 최근 그래픽 카드 제조사 엔비디아를 공격한 랩서스(LAPSUS$)가 지목됐다.

랩서스는 지난달 글로벌 그래픽 칩셋 제조사 엔비디아를 공격하고, 1TB 분량의 제품 데이터를 유출했다고 주장했다. 특히 이들은 엔비디아가 원하는 만큼의 비용을 내지 않는 한, 유출 정보를 공개할 준비가 돼 있다고 덧붙였다. 여기에는 엔비디아 소프트웨어에 대한 전자서명(인증서)이 포함돼 있으며, 해당 정보가 유출될 경우 악성 소프트웨어가 엔비디아 그래픽 드라이버처럼 정상 소프트웨어로 위장해 사용자에게 유포될 수도 있다.

삼성전자에 대한 공격 역시 이와 같은 양상으로 흘러가고 있다. 랩서스는 공격 이후 삼성전자의 기밀 정보를 유출하는 데 성공했으며, 하드웨어 보안 영역, 암호화, 생체인식 잠금해제 알고리즘 등 보안 관련 주요 소스코드가 포함돼 있다고 주장했다. 이들은 유출된 정보가 190GB에 이르며, 3개로 분할 압축하고 파일 공유 서비스(토렌트)로 유포하겠다고 밝혔다. 특히 전송 속도를 높이기 위해 최소 400개 이상의 컴퓨터로 네트워크 자원을 공유한다(P2P)고 덧붙였다.
 
인질 잡고 협박...기존 랜섬웨어 공격 다른듯 비슷한 형태
정보를 유출하겠다고 협박하며 금전을 요구하는 방식은 랜섬웨어 공격 양상과 유사하다. 랜섬웨어(Ransomware)란 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 과거 사용자 PC의 모든 데이터를 못 쓰게 만든 뒤(암호화), 일정 비용을 받고 파일을 복구해주는 형태로 이뤄졌다.

하지만 보안 업계에 따르면 최근 몇 년간 랜섬웨어 공격은 진화하는 추세다. 우선 공격 대상은 일반 사용자에서 기업으로 확대됐다. 다수의 일반인을 상대로 공격을 펼치는 것보다 더 큰돈을 지불할 수 있는 기업을 노리고, 범죄 수익을 극대화하는 표적공격이 성행하기 시작했다.

이와 함께 암호화로 대표되는 랜섬웨어 공격에 더 다양한 방식이 도입되고 있다. 이중협박 전략으로 악명을 떨치던 메이즈 랜섬웨어 조직이 대표적인 사례다. 메이즈는 기업의 주요 데이터를 못 쓰게 만드는 것과 함께, 주요 데이터를 유출해 기업을 협박하는 데 사용했다.

랜섬 디도스 역시 이러한 유형 중 하나다. 랜섬 디도스란 기업에 협상 비용을 내놓지 않으면 디도스(DDoS, 분산 서비스 거부) 공격을 펼치겠다고 협박하는 방식으로, 지난 2020년에도 국내 금융사를 대상으로 이러한 공격이 이뤄지기도 했다.

보안 전문가들은 공격 방식 변화에 대해 해커의 '수익 극대화'가 목표라고 밝혔다. 파일을 암호화하는 것에 더해 유출한 정보로 협박할 경우 피해 기업을 협상 테이블에 앉히는 것이 더 수월해지기 때문이다. 기업이 협상에 응하지 않더라도 유출 정보를 다크웹 등 블랙마켓에서 판매할 수도 있다.

또한 암호화 방식은 기업의 백업 정책으로 대응할 수 있다. 때문에 해킹 조직은 장기간에 걸친 표적공격의 대가를 얻어내기 위해 정보 유출, 디도스 등 협박 수단을 다양화하는 추세다.

이처럼 고도화된 사이버공격에서 피해는 단발성으로 그치지 않는다. 해커가 공격 과정에서 유출한 정보를 통해 계열사나 협력사 등을 추가로 공격할 수 있는 단서를 발견할 수도 있고, 소스코드 등을 악용한 가짜 소프트웨어를 유포하는 등 공격을 위한 발판을 마련할 수도 있다.

국가정보원은 최근 삼성전자 해킹에 대해 "유관 부처, 해당 기업과 협조해 국가핵심기술 유출 여부 등을 확인한 결과, 유출된 정보가 산업기술보호법상 국가핵심기술에는 해당되지 않는 것으로 파악하고 있다"며 "소스코드 유출과 관련해서도 국가·공공기관을 대상으로 모바일 보안 플랫폼 사용 여부, 보안 프로그램 탑재 여부 등을 파악해 대응하고 있다"고 밝혔다.

이와 함께 "피해 예방을 위해 국내외 다양한 채널을 활용하여 해킹 활동 관련 정보 수집, 침해지표(IP·악성코드 등) 입수, 탐지 규칙 등을 지원할 계획"이라며 "현재 모든 국가·공공기관을 대상으로 국가사이버위협정보 공유시스템(NCTI)을 운영, 방산업체·대기업 등 민간과 관련 정보를 공유하는 등 긴밀한 공조를 유지하고 있다"고 덧붙였다.