최근 국내외 주요 IT 기업을 해킹하면서 악명을 떨친 해킹 조직 '랩서스((Lapsus$)'는 사전에 유출한 임직원 계정을 악용해 기업 시스템에 손쉽게 접근한 것으로 나타났다. 이메일 보안 교육 등 기본적인 보안 강화 전략이 필요한 대목이다.
SK쉴더스는 최근 엔비디아, 삼성, LG, 마이크로소프트(MS) 등 글로벌 기업을 해킹한 것으로 알려진 랩서스의 공격 기법을 분석하고 이에 대한 대응 전략을 30일 공개했다.
SK쉴더스 침해사고 분석·대응을 전담하는 인포섹 Top-CERT팀에 따르면 랩서스 조직은 공격 수행 시 공격 대상 기업의 임직원 업무용 계정 정보를 입수하는 데 큰 노력을 기울였다. 이는 MS가 최근 발표한 랩서스 공격 수법과도 일치한다.
랩서스는 공격 수행 전 다크웹을 통해 기업 임직원 정보를 구매한 것으로 나타났다. 다크웹은 우리가 흔히 사용하는 인터넷 서비스(표면 웹)와 달리 특정 소프트웨어와 관리자의 인증을 통해서만 접근할 수 있는 인터넷 공간으로, 불법 상품과 콘텐츠가 거래되면서 논란이 된 바 있다.
이와 함께 직원 계정 유출을 위해 해당 기능이 있는 악성코드를 배포하기도 했다. 보안 업계에 따르면 이를 위해 주로 쓰이는 방식은 피싱 이메일 등이다. 랩서스 이렇게 수집한 임직원 계정정보를 통해 공격 대상의 사용자 PC에 손쉽게 접근했으며, 이후 기업 내부 정보를 탈취했다.
MS 역시 이달 22일(현지시간) 자사 블로그를 통해 랩서스가 사회공학적 기법을 이용해 직원에게 접근했다고 밝혔다. 사회공학적 기법이란 장기간의 소통을 통해 신뢰관계를 쌓고, 이를 통해 비밀정보를 획득하는 공격 방식을 말한다. 랩서스는 고객센터 등으로 위장해 피해자와 관계를 유지하며 계정 유출 등 피싱을 시도했다.
SK쉴더스는 최근 엔비디아, 삼성, LG, 마이크로소프트(MS) 등 글로벌 기업을 해킹한 것으로 알려진 랩서스의 공격 기법을 분석하고 이에 대한 대응 전략을 30일 공개했다.
SK쉴더스 침해사고 분석·대응을 전담하는 인포섹 Top-CERT팀에 따르면 랩서스 조직은 공격 수행 시 공격 대상 기업의 임직원 업무용 계정 정보를 입수하는 데 큰 노력을 기울였다. 이는 MS가 최근 발표한 랩서스 공격 수법과도 일치한다.
랩서스는 공격 수행 전 다크웹을 통해 기업 임직원 정보를 구매한 것으로 나타났다. 다크웹은 우리가 흔히 사용하는 인터넷 서비스(표면 웹)와 달리 특정 소프트웨어와 관리자의 인증을 통해서만 접근할 수 있는 인터넷 공간으로, 불법 상품과 콘텐츠가 거래되면서 논란이 된 바 있다.
MS 역시 이달 22일(현지시간) 자사 블로그를 통해 랩서스가 사회공학적 기법을 이용해 직원에게 접근했다고 밝혔다. 사회공학적 기법이란 장기간의 소통을 통해 신뢰관계를 쌓고, 이를 통해 비밀정보를 획득하는 공격 방식을 말한다. 랩서스는 고객센터 등으로 위장해 피해자와 관계를 유지하며 계정 유출 등 피싱을 시도했다.
이메일 통한 악성코드 유포 증가...대응 마련 필요
인포섹 Top-CERT는 해킹 사고 예방을 위해 우선 해킹 조직이 정보를 수집하는 단계부터 대응해야 한다고 밝혔다. △다크웹 모니터링 △이메일 악성코드 탐지·차단 솔루션 △지능형 지속 위협 탐지·차단 솔루션 등이 대표적이다. 특히 이메일을 통한 해킹 공격은 매년 증가하고 있기 때문에 이메일을 악용한 악성코드 유포와 같은 공격을 솔루션을 통해 효과적으로 차단하고 위협을 제거할 것을 강조했다.
또한 △불필요한 원격 접속 차단 △2단계 인증(다요소 인증) 사용 △최신 보안 패치 적용 △DRM(문서보안) 솔루션, 정보유출 탐지 솔루션 구축 △해킹 사고 정보 공유 체계 강화 등의 방안을 제시했다.
특히 랩서스 해킹 조직이 손쉽게 공격 대상 PC에 접근이 가능했던 이유로 2단계 인증이 적용되지 않은 PC를 노렸을 가능성이 있어, 2단계 인증을 통한 보안 강화를 권고했다.
김병무 SK쉴더스 클라우드사업본부장은 "랩서스처럼 한 기업을 집중적으로 노린 공격은 사실상 완전히 막아 내기가 어렵다"면서도 "해커의 공격이 상시적으로 이뤄지고 있다는 가정하에 철저한 인증으로 최소한의 권한만 부여하는 '제로 트러스트' 모델을 기반으로 각 단계별 적절한 보안 솔루션을 도입하고 강력한 통제정책과 주기적인 모니터링이 필수적으로 이뤄져야 한다"고 밝혔다.
한편, 랩서스는 지난해 12월 브라질의 보건부를 해킹했으며, 미국 반도체 기업 '엔비디아' 주요 정보를 유출하면서 이름을 알렸다. 이어 삼성, LG, 마이크로소프트 등 글로벌 빅테크 기업을 연달아 해킹했다. 랩서스가 유출한 정보는 'GPU 회로도', '소스코드', '직원 이메일 계정' 등이다.
또한 △불필요한 원격 접속 차단 △2단계 인증(다요소 인증) 사용 △최신 보안 패치 적용 △DRM(문서보안) 솔루션, 정보유출 탐지 솔루션 구축 △해킹 사고 정보 공유 체계 강화 등의 방안을 제시했다.
특히 랩서스 해킹 조직이 손쉽게 공격 대상 PC에 접근이 가능했던 이유로 2단계 인증이 적용되지 않은 PC를 노렸을 가능성이 있어, 2단계 인증을 통한 보안 강화를 권고했다.
김병무 SK쉴더스 클라우드사업본부장은 "랩서스처럼 한 기업을 집중적으로 노린 공격은 사실상 완전히 막아 내기가 어렵다"면서도 "해커의 공격이 상시적으로 이뤄지고 있다는 가정하에 철저한 인증으로 최소한의 권한만 부여하는 '제로 트러스트' 모델을 기반으로 각 단계별 적절한 보안 솔루션을 도입하고 강력한 통제정책과 주기적인 모니터링이 필수적으로 이뤄져야 한다"고 밝혔다.
한편, 랩서스는 지난해 12월 브라질의 보건부를 해킹했으며, 미국 반도체 기업 '엔비디아' 주요 정보를 유출하면서 이름을 알렸다. 이어 삼성, LG, 마이크로소프트 등 글로벌 빅테크 기업을 연달아 해킹했다. 랩서스가 유출한 정보는 'GPU 회로도', '소스코드', '직원 이메일 계정' 등이다.