[디지털데일리 이종현기자] 데이터 인텔리전스 기업 S2W는 21일 해커그룹 랩서스(LAPSUS$) 관련 분석 내용, 대응 방안을 발표했다. S2W가 분석한 랩서스 공격 타임라인과 대응방안 등을 소개했다.
S2W의 분석에 따르면 랩서스 해킹 그룹은 2021년 5월부터 딥웹 포럼에서 활동을 시작한 것으로 추정된다. 텔레그램에서는 브라질의 보건부에 대한 최초 데이터 유출을 시작으로, 글로벌 기업뿐만 아니라 국내 대기업들의 주요 데이터를 유출해 전 세계의 이목을 끌고 있다. 엔비디아, 삼성전자, LG전자, 옥타, 마이크로소프트(MS) 등이 피해를 입었다.
랩서스는 최소 5명 이상의 멤버들로 구성되돼 있는 것으로 추정된다. S2W는 랩서스의 가장 큰 목적은 금전적 이득이며, 대기업의 강력한 보안 게이트들의 허점을 파고들어 데이터를 유출시켰다는 점에서 상당한 실력자들로 구성돼 있을 것이라고 추정했다.
랩서스가 공개한 스크린샷 및 채팅 기록에는 유효한 가상사설망(VPN), 원격데스크톱프로토콜(RDP), 아마존웹서비스(AWS) 및 MS 애저(Azure) 등 크리덴셜을 통해 접속하는 비중이 매우 높다. 외부에 공개된 취약한 서버와 유출된 크리덴셜을 주로 활용하는 것으로 예상된다.
랩서스가 활동하고 있는 채널은 해킹 포럼과 텔레그램 방이다. 최근에는 매트릭스(Matrix)라는 서비스로 채널을 이동했다.
S2W의 사이버위협 인텔리전스(CTI) 부문 내 전문 분석팀인 탈론(TALON)의 총괄 곽경주 이사는 “데이터가 공식적으로 유출되기 전에, 신속히 관련 내용을 전달받아 대비책 및 탈취 정보 확산에 대응을 할 수 있는 것은 그렇지 못한 상황과 비교했을 때 큰 차이가 있다”며 “고급 보안 정보의 다자간 공유가 앞으로 더 중요해 질 것이라 확신한다”라고 말했다.
S2W는 랩서스의 공격과 같은 방법에 대응하기 위해서는 견고한 보안 체계 구축과 지속적으로 최신 인텔리전스 확보해야 한다고 전했다. 딥웹, 다크웹을 활용한 언더그라운드 해커들의 조직적이고 체계적인 공격은 단순하게 운영되는 보안 장비만을 이용해서는 대응에 한계가 있다는 것이 S2W의 설명이다.
각 기업은 다양한 위협 정보를 분석하고 처리할 수 있는 전문 인력들을 내부에 배치하고, 방어막을 촘촘히 하여 전세계적으로 이슈가 되는 보안 사건 사고들에 나(우리 기업)와 관련된 정보들은 어떤 것이 있을지, 우리는 어떻게 대응할 수 있는지 끊임없이 시뮬레이션하면서 대응전략을 수립하는 것이 필요하다고 강조했다.
한편 S2W는 오는 28일 서울 강남구 코엑스에서 CTI 플랫폼 ‘퀘이사(Quaxar)’ 출시 행사를 개최한다. 퀘이사는 수집된 정보에서 핵심 부분만 정제해 사용자에게 맞춤형 인텔리전스를 제공하는 플랫폼이다.
Quaxar(퀘이사)는 다양하게 수집된 정보에서 핵심적인 부분들만 정제해 사용자에게 맞춤형 인텔리전스를 제공한다. Quaxar 만이 가지는 액티브한 정보(Active Intelligence)로 아직 외부에 알려지지 않은 위협들에 대응할 수 있다. 또한 CTI 업무 이력과 처리 상황 등을 관리하며 Quaxar를 이용하는 기업들 간의 핵심 정보를 공유할 수 있는 생태계를 조성한다.