단순한 18세 악동 해커 아닌, 글로벌 기업들 사냥하는 범죄 조직 속해
삼성, MS, 시스코, 엔비디아, 옥타 등 글로벌 빅테크도 ‘랩서스$’에 혼쭐
소셜 엔지니어링 이용, 가짜 인증 후 자격증명 탈취, ‘우버 공격자도 같은 수법’
[애플경제 이보영 기자]우버에 대한 사이버 공격자가 단순히 18세 소년 해커로만 알려졌으나, 알고 보니 최근 기승을 떠는 악명높은 사이버 범죄 그룹 ‘랩서스$’(Lapsus$)의 일원이었음이 밝혀졌다. 보안업체 KnowBe4와 일부 외신에 따르면 문제의 공격자는 소셜 엔지니어링을 사용하여 기술기업이나 빅테크까지 공격해온 사이버 범죄 그룹인 ‘랩서스$’에 속한 전문 해커임이 분명해지고 있다.
우버측은 “지난 주 보안 침해 사건에서 공격자는 슬랙의 내부 메시지와 송장 관리에 사용되는 도구의 정보를 다운로드했다.”면서 이같이 밝혔다. 특히 우버를 공격한 해커는 이미 지난 1년 동안 유사한 사이버 범죄를 저질러 온 것으로 추정했다. 즉 ‘랩서스$’ 그룹의 일원이란 점에서 그럴 가능성이 크다는 것이다.
KnowBe4와 우버 측에 따르면 ‘Lapsus$’는 그 동안 마이크로소프트, 시스코, 삼성, 엔비디아, 옥타 같은 글로벌 거대 기술 기업들을 집요하게 공격해왔다. “이번에 우버에 대한 공격 역시 해커가 그런 ‘Lapsus$’의 도움 내지 지원을 받으면서 자행한 것으로 판단된다”는 우버측의 설명이다. 특히 18살짜리 해커가 사용한 공격 방식은 전형적인 ‘랩서스$’의 단골수법과 흡사한 것으로 분석되었다.
실제로 소셜 엔지니어링을 이용한 해커의 공격 역시 ‘랩서스$’가 즐겨 쓰는 방식이다. 이번 우버에 대한 사이버 공격에서도 범인은 소셜 엔지니어링을 이용해 우버 계약자를 속여 2단계 로그인 요청을 승인하도록 했다. 그런 과정에서 외부 계약자의 개인 장치가 악성 프로그램에 감염되어 사용자의 계정 자격 증명이 노출되었을 가능성이 크다는 우려다. “‘랩서스$’나, 그에 속한 해커들은 그렇게 탈취한 자격증을 별도로 구입한 다크 웹에서 판매하는게 보통”이라는 설명이다.
이번에도 범인은 전형적인 ‘랩서스$’의 수법으로 우버의 빈틈을 파고 들었다. 일단 필요한 계좌 정보로 무장한 채 계약자의 우버 계정에 로그인을 시도했다. 그런 시도와 함께 실제 사용자에게 전송되는 2단계 인증을 요청했다. 이런 사실을 모르는 계약자도 처음에는 그러한 요청을 거부했지만, 니중엔 결국 하나를 받아들였고, 범인이 성공적으로 로그인할 수 있게된 것이다.
계약자의 자격 증명을 사용하여 로그인한 후 공격자는 다른 직원 계정에 액세스할 수 있게 되어 ‘G-Suite’나 슬랙(Slack) 등 다양한 내부 도구에 접속할 수 있는 권한을 높일 수 있게 되었다. 그리곤 해커 스스로가 자신의 업적을 자랑하며, 회사 내부망인 슬랙 채널에 “나는 해커이며 우버가 데이터 유출을 겪었다”는 메시지를 당당히 게시했다. 범인은 또 우버의 OpenDNS, 즉 도메인 네임 시스템도 수정해 특정 내부 사이트의 직원들에게 그래픽 이미지를 표시해 보이기도 했다.
흔히 ‘랩서스$’가 그렇듯이, 이번에도 전에 이 그룹이 탈취하거나 표적으로 삼아온 정보와 데이터들이 대거 유출된 것으로 전해졌다. 우버는 20일 비로소 피해 규모를 소상히 밝혔다. 이에 따르면 공격자는 일부 내부 슬랙 메시지를 다운로드한 후, 재무 직원이 송장 관리를 위해 사용하는 내부 도구에서 데이터에 액세스하거나 다운로드했다. 즉 “공격자는 보안 연구원들이 버그를 보고하기 위해 사용하는 도구인 해커원에서 우버의 대시보드에 접근하기도 했다”면서 “그러나 액세스된 버그 보고서는 그 이후 해결되었다”는게 우버측의 설명이다.
우버에 따르면 공격자는 신용카드 및 재무 데이터나 여행 정보가 있는 운영 시스템, 공개 시스템, 사용자 계정 또는 민감한 데이터베이스에 액세스하지 않았다. 또한 “우버의 코드베이스를 수정하거나, 회사의 클라우드 제공자들이 저장한 데이터에 접근하지 않았다”고 우버는 덧붙였다.
이번 일을 당한 후후 우버는 ‘랩서스$’의 또 다른 공격에 대비해 나름대로 방어책을 강구하고 있는 것으로 알려졌다. 우선 직원 계정이 손상되었거나 손상되었을 수 있다고 보고, 우버 시스템에 대한 액세스를 차단하거나 비밀번호를 강제로 재설정했다. 또 공격을 받기 쉬운 특정 내부 도구를 사용하지 않도록 설정하고, 많은 내부 서비스에 대한 액세스를 재설정하는 한편, 코드베이스를 잠그고, 직원들이 내부 도구에 대한 액세스를 다시 인증하도록 했다. 이와 함께 “회사는 다요소 인증 정책을 강화하고, 의심스러운 활동에 대해 내부 환경을 더욱 광범위하고 철저하게 모니터링하기로 했다.”고 밝혔다.
전문가들은 그러나 “앞으로도 ‘랩서스$’와 같은 공격이 더 심각해질 수 있고, 우버가 나름대로 대비책을 마련하고는 있지만 애초 사이버 보안은 완벽할 수만은 없는 것”이라며 “MFA(다중요소인증, Multi factor Authentication)와 같은 적절한 보안 도구가 마련되어 있더라도 한 명의 직원이나 계약자의 부주의로 인해 조직이 사이버 공격의 희생양이 될 수 있다”고 한계를 지적하고 있다.
실제로 ‘KnowBe4’의 데이터 보호 전문가인 로저 그라임즈는 “푸시 기반 MFA를 보다 탄력적으로 만드는 방법은 단 하나”라며 “이는 푸시 기반 MFA를 사용하는 직원들에게 이에 대한 일반적인 공격 유형, 이러한 공격을 탐지하는 방법, 그리고 공격이 발생할 경우 이를 완화하고 보고하는 방법을 교육하는 것”이라고 블로그에서 밝혔다. 그럼에도 불구하고, ‘랩서스$’처럼 최근 기승을 떠는 사이버 범죄 그룹들을 완전히 퇴치하는 것은 거의 불가능에 가깝다는 지적이다.