최근 엔비디아와 삼성전자를 해킹한 '랩서스(LAPSUS$)'가 이번엔 LG전자를 해킹해 임직원 계정 정보를 탈취했다고 주장하고 나섰다. 이들은 마이크로소프트도 해킹 대상에 올리며 글로벌 대기업을 향한 전방위적 공격을 계속하고 있다. 이에 전문가들은 랩서스가 금전적인 목적보다는 사회 혼란을 일으키기 위해 사이버 공격을 이어가고 있다는 분석을 내놓고 있다.

삼성전자 이어 LG전자도 당했다

22일 랩서스는 텔레그램방을 통해 자신들이 LG전자를 해킹해 임직원과 서비스 계정의 해시값이 담긴 리스트를 탈취했다고 주장하며 'LGE-Hashes.txt'라는 파일을 올렸다. 파일 안에는 9만 명에 가까운 영문 이름이 확인된다.

앞서 랩서스는 지난 14일 "우리는 LG 소스코드를 유출할 수 있을 것 같다"며 "우리의 백도어가 아침까지 살아남느냐에 따라 다르다"고 해킹을 예고하는 메시지를 남긴 바 있다.

LG전자 관계자는 "확인 결과 자사 임직원 일부 이메일 주소가 유출된 것으로 추정된다"고 말했다.

이들이 공개한 해시값이란 파일의 무결성, 순수성을 증명하기 위해 파일 특성을 축약한 일종의 암호화된 수치다. 지문이 개개인을 식별하기 위한 고유한 정보로 사용되는 것처럼, 해시 또한 '디지털 증거의 지문'으로 사용된다. 특히 인터넷 상에서 아이디와 비밀번호를 생성해 로그인하는 경우, 사용자 개인정보를 암호화해 보관하기 위한 보안 목적으로도 사용된다.

국내 한 보안 전문가는 "해당 해시리스트는 LG 임직원들이 로그인하는 계정에 대한 해시인 것으로 보인다"며 "비밀번호가 아닌 ID에 대한 해시만 포함된 것으로 LG전자를 해킹했다는 증명 목적일 것"이라고 말했다.

랩서스는 조만간 LG전자 내부 시스템 구성과 관련된 정보도 유출할 것이라 예고하며 "새로운 보안 대응팀(CSIRT)을 고려해보는 것이 좋을 것"이라고 조롱했다.

랩서스의 전방위 해킹 공격

이날 랩서스는 마이크로소프트 검색 서비스 '빙'과 음성비서 서비스 '코타나' 관련 내부 소스코드도 탈취했다고 주장했다. 또 계정 관리 플랫폼 '옥타'의 시스템에 침입한 이미지도 게시했다.

랩서스의 공격이 계속되면서 이들의 정체에 대한 관심도 높아지고 있다. 그간 보안 업계는 랩서스가 남미 지역을 기반으로 활동하는 조직이라고 예상해왔다. 텔레그램 채널에서 포르투갈어와 영어를 함께 사용하고 있을 뿐만 아니라, 활동 초기 주 공격 대상이 남미 지역 정부 부처 및 기업이었기 때문이다. 

랩서스는 지난해 12월 10일 처음 텔레그램 채널을 개설하고 활동에 나섰다. 첫 행보로 이들은 브라질 보건부를 해킹해 시스템에 저장된 50테라바이트(TB) 이상의 데이터를 탈취했다고 밝혔다. 이후 보건부가 유출된 데이터가 없다고 해명하자 랩서스는 홈페이지를 다운시키고, 브라질 교통국을 비롯한 다수 공공기관을 공격했다.

같은 달 12일에는 텔레그램 채널 참여자들에게 다음 공격대상으로 정부 부처, 기업 등 다음 공격 대상에 대한 의견을 구했고, 이어 19일에는 애플을 해킹해 아이폰X의 설계도면을 획득했다고 주장하며 관련 PDF파일을 공개하기도 했다.

올해 1월 4일에는 포르투갈 최대 미디어 그룹 '임프레사(Impresa)'에 대한 랜섬웨어 공격을 단행해 운영 중인 웹사이트 다수를 다운시키고, 협박 편지 문구로 도배했다. 일주일 뒤인 11일에는 남미 최대 규모 렌터카 회사 '로칼리자(Localiza)'를 공격하기도 했다.

그러나 이들은 13일을 기점으로 이들은 공격 범위를 미국 등 다른 국가로 넓혔다. 메시지를 통해 미국 그래픽처리장치(GPU)설계 기업 엔비디아 해킹을 암시하고, 같은 달 28일 해킹 사실을 공개한 것이다. 이를 통해 랩서스는 1TB 규모의 데이터를 훔쳤다고 주장했으며 'RTX 30' 시리즈의 '라이트해시레이트(LHR)'을 해제하겠다고 전했다. 또 GPU 드라이버를 오픈소스로 제공하지 않으면 기밀 데이터를 공개하겠다고 위협하며 돈을 요구했다.

이에 그치지 않고 랩서스는 삼성전자 해킹을 감행했고, 이를 통해 190기가바이트(Gb)에 달하는 기밀 소스코드를 탈취했다고 주장했다. 또 이를 압축 파일 3개로 분할해 텔레그램 채널에서 토렌트 형태로 배포했다.

당시 삼성전자는 사내 공지를 통해 "현재까지 확인된 유출 자료에는 갤럭시 구동에 필요한 일부 소스코드가 포함돼있으나, 임직원과 고객 개인정보는 포함돼있지 않다"며 "회사 비즈니스와 고객에 미치는 영향은 없는 것으로 파악됐다"고 밝혔다.

또 국가정보원은 "유관부처, 해당 기업과 협조해 보도 내용 및 기술 유출 여부 등을 확인한 결과, 산업기술보호법상 국가핵심기술에는 해당되지 않은 것으로 파악했다"고 전했다.

랩서스의 목적은 사회혼란? 러시아 관련성도 주목

앞서 랩서스는 자신들의 유일한 목적은 '돈'이며, 정치적 목적은 없다고 주장한 바 있다. 그러나 돈을 목적으로 하는 일반적인 해킹 조직과는 전혀 다른 행태를 보이고 있다고 전문가들은 분석하고 있다. 정체를 숨겨야 하는 해커들의 특성상 공개된 텔레그램 채널에서 활동을 하는 것 자체가 굉장히 큰 부담이 될 수 밖에 없기 때문이다.

이에 최근 러시아의 우크라이나 침공과 관련한 배후가 있다는 분석도 나온다. 공교롭게도 이들이 최근 공격한 엔비디아와 마이크로소프트는 러시아에 제품 판매 중단을 공식적으로 발표한 기업이고, 삼성전자와 LG전자도 러시아행 선적을 중단한 직후 해킹 사실이 공개됐다.

문종현 이스트시큐리티 시큐리티센터 이사는 "금전적인 목적을 가진 해킹 그룹의 경우 주로 다크웹이나 딥웹 등에서 주로 활동하며 자신들이 추적당할 소지를 남기지 않는 반면, 랩서스는 공개된 텔레그램 채널을 통해 공격활동을 적극 알리고 있다"며 "이는 돈보다는 사회혼란을 일으키려고 하는 조직에서 주로 보이는 행태"라고 말했다.

이어 "최근 LG전자가 러시아행 제품 선적을 중단하겠다고 밝힌 상황에서 발생했기 때문에 러시아 쪽과 관련돼있을 가능성이 크다"며 "앞서 피해를 입은 엔비디아와 삼성전자는 물론, 이날 공개된 마이크로소프트도 같은 맥락일 것"이라고 덧붙였다.

김가은 기자 7rsilver@techm.kr