S2W, 랩서스 공격 기법과 대응 방안 발표...TI 중요성 커져
2022-04-21 13:06
랩서스 조직, 유출된 계정 정보 활용해 방어체계 무력화
위협 인텔리전스(TI) 통해 노출된 기업 정보 인지하고 대응 효율 높여야
위협 인텔리전스(TI) 통해 노출된 기업 정보 인지하고 대응 효율 높여야
보안 기업 S2W가 삼성, 엔비디아 등을 공격한 랩서스(Lapsus$) 해킹 조직 관련 분석 내용과 대응 방안을 21일 발표했다.
S2W에 따르면 랩서스 조직은 2021년 5월부터 딥웹 해킹 커뮤니티에서 활동을 시작한 것으로 추정된다. 딥웹이란 일반적인 검색 엔진에 노출되는 표면 웹과 달리, 특별한 방법으로만 접근할 수 있는 인터넷 공간을 말한다. 이들은 텔레그램을 통해 브라질 보건부에 대한 데이터 유출을 시작으로, 글로벌 기업뿐만 아니라 국내 대기업들의 주요 데이터를 유출하여 전 세계의 이목을 끌었다.
최소 5명 이상의 조직원이 활동 중이며, 이들의 가장 큰 목적은 금전적 이득으로 추정된다. 대기업의 강력한 보안 영역의 허점을 파고들어 데이터를 유출했다는 점에서 상당한 실력을 갖춘 것으로 보인다.
랩서스가 공개한 스크린샷과 채팅 기록에는 유효한 가상사설망(VPN), 원격 데스크톱 통신(RDP), 기업용 업무 서비스 계정을 악용해 기업 시스템에 침투하는 비중이 매우 높은 것으로 보아, 외부에 공개된 취약한 서버와 유출된 자격증명(ID·비밀번호 등)을 주로 활용하는 것으로 추정된다.
랩서스가 주로 활동하는 채널은 해킹 커뮤니티와 텔레그램 등이며, 최근에는 '매트릭스' 라는 서비스를 활용하고 있다. S2W는 랩서스 공격에 대한 사전 모니터링 체계로 활동을 신속히 인지하고, 공격 수법과 대응 방향에 대해 고객사에 사전 공유 중이다.
곽경주 S2W 사이버위협 인텔리전스 총괄 이사는 "데이터가 공식적으로 유출되기 전에, 신속히 관련 내용을 전달받아 대비책과 탈취 정보 확산에 대응 할 수 있어야 한다"며 "고급 보안 정보에서 다자간 공유가 앞으로 더 중요해 질 것"이라고 말했다.
랩서스는 앞으로도 활발하게 활동할 가능성이 높으며 각 기업과 기관은 해당 공격그룹에 대한 지속적인 위협 인텔리전스(TI, Threat Intelligence) 수집과 대비가 필요하다. 딥웹이나 다크웹을 활용한 해커의 공격은 조직적이고 체계적으로 운영되며, 단순한 보안 장비만으로는 대응에 한계가 있다. 때문에 보안 위협 정보를 실시간으로 반영하고, 보안 장비 운영 효율을 높이기 위한 인력과 인테리전스 확보가 중요하다.
S2W 관계자는 "각 기업은 다양한 위협 정보를 분석하고 처리할 수 있는 전문 인력들을 내부에 배치하고, 방어막을 촘촘히 해 세계적으로 이슈가 되는 보안 사건 사고들에 자신의 기업과 관련된 정보는 어떤 것이 있는지, 어떻게 대응할 수 있는지 끊임없이 시뮬레이션하면서 대응전략을 수립해야 한다"고 말했다.
S2W에 따르면 랩서스 조직은 2021년 5월부터 딥웹 해킹 커뮤니티에서 활동을 시작한 것으로 추정된다. 딥웹이란 일반적인 검색 엔진에 노출되는 표면 웹과 달리, 특별한 방법으로만 접근할 수 있는 인터넷 공간을 말한다. 이들은 텔레그램을 통해 브라질 보건부에 대한 데이터 유출을 시작으로, 글로벌 기업뿐만 아니라 국내 대기업들의 주요 데이터를 유출하여 전 세계의 이목을 끌었다.
최소 5명 이상의 조직원이 활동 중이며, 이들의 가장 큰 목적은 금전적 이득으로 추정된다. 대기업의 강력한 보안 영역의 허점을 파고들어 데이터를 유출했다는 점에서 상당한 실력을 갖춘 것으로 보인다.
랩서스가 공개한 스크린샷과 채팅 기록에는 유효한 가상사설망(VPN), 원격 데스크톱 통신(RDP), 기업용 업무 서비스 계정을 악용해 기업 시스템에 침투하는 비중이 매우 높은 것으로 보아, 외부에 공개된 취약한 서버와 유출된 자격증명(ID·비밀번호 등)을 주로 활용하는 것으로 추정된다.
랩서스가 주로 활동하는 채널은 해킹 커뮤니티와 텔레그램 등이며, 최근에는 '매트릭스' 라는 서비스를 활용하고 있다. S2W는 랩서스 공격에 대한 사전 모니터링 체계로 활동을 신속히 인지하고, 공격 수법과 대응 방향에 대해 고객사에 사전 공유 중이다.
곽경주 S2W 사이버위협 인텔리전스 총괄 이사는 "데이터가 공식적으로 유출되기 전에, 신속히 관련 내용을 전달받아 대비책과 탈취 정보 확산에 대응 할 수 있어야 한다"며 "고급 보안 정보에서 다자간 공유가 앞으로 더 중요해 질 것"이라고 말했다.
랩서스는 앞으로도 활발하게 활동할 가능성이 높으며 각 기업과 기관은 해당 공격그룹에 대한 지속적인 위협 인텔리전스(TI, Threat Intelligence) 수집과 대비가 필요하다. 딥웹이나 다크웹을 활용한 해커의 공격은 조직적이고 체계적으로 운영되며, 단순한 보안 장비만으로는 대응에 한계가 있다. 때문에 보안 위협 정보를 실시간으로 반영하고, 보안 장비 운영 효율을 높이기 위한 인력과 인테리전스 확보가 중요하다.
S2W 관계자는 "각 기업은 다양한 위협 정보를 분석하고 처리할 수 있는 전문 인력들을 내부에 배치하고, 방어막을 촘촘히 해 세계적으로 이슈가 되는 보안 사건 사고들에 자신의 기업과 관련된 정보는 어떤 것이 있는지, 어떻게 대응할 수 있는지 끊임없이 시뮬레이션하면서 대응전략을 수립해야 한다"고 말했다.