고조되는 사이버 안보 위협..'삼성전자 해킹' 의도는?

김혜경 입력 2022. 3. 8. 17:04
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

"일반적 랜섬웨어 조직과 다른 양상..다각도로 봐야"

[아이뉴스24 김혜경 기자,박진영 기자] 러시아의 우크라이나 침공으로 불거진 사이버전에 이어 최근 글로벌 대기업이 잇따라 해킹 공격을 받으면서 사이버 안보에 대한 위기감이 고조되고 있다. 지난 7일 삼성전자 측이 일부 자료가 외부로 유출됐음을 인정하면서 사태는 또 다른 국면으로 접어드는 모양새다.

해커집단 '랩서스(Lapsus$)'의 정체와 공격 의도는 여전히 베일에 싸여있는 가운데 이번 사건으로 삼성의 보안망에 틈이 생겼다는 점과 추가적인 피해 발생 가능성도 배제할 수 없는 만큼 종합적인 점검과 대책 마련이 우선돼야 한다는 분석이 나온다.

지난 5일 랩서스가 자신들의 텔레그램 채널을 통해 삼성전자를 해킹했다며 데이터 유출을 예고하고 있다. [사진=해커조직 랩서스 텔레그램 채널 화면 캡쳐]

◆ '소스 코드 유출'로 취약점 노출 가능성 ↑

지난 5일 해커집단 랩서스는 자신들의 텔레그램 채널을 통해 삼성전자의 핵심 자료와 데이터를 빼냈다고 주장했다. 이들이 확보했다고 주장한 자료에는 ▲'녹스(Knox)' 데이터·인증 코드를 포함한 최신 기기 부트로더(Bootloader) 소스 코드 ▲생체 인식 잠금 해제 작업에 대한 알고리즘 ▲'퀄컴(Qualcomm)' 소스 코드 등이다.

소스 코드는 텍스트 파일 형태로 구성된다. 핸드폰 등 기기를 구동하기 위해 필요한 기능들이 어떻게 만들어졌는지 알 수 있는 것이 소스 코드다. 녹스는 보안 플랫폼이며 부트로더는 전원이 켜지면 실행되는 소프트웨어다. 현재 외부에 유출된 파일의 용량은 190GB(기가바이트)로, 해당 파일의 압축을 풀면 총 용량은 400GB가 조금 넘는 것으로 알려졌다.

삼성전자는 지난 7일 사내 공지를 통해 "현재까지 확인된 유출 자료에는 갤럭시 구동에 필요한 일부 소스 코드가 포함됐지만 임직원과 고객 개인정보는 포함돼 있지 않다"며 "정보 탈취 시도를 인지한 후 전사 정보보호센터와 MX사업부 시큐리티팀이 보안시스템을 강화하는 등 대응 체제를 가동했다"고 전했다. 국가정보원도 산업 기밀을 다루는 기업이 해킹 피해를 입은 만큼 국가적 피해가 없는지 여부를 조사하고 있다.

신동휘 스틸리언 부사장은 "소스 코드만 가지고 모든 내용을 파악하기는 어렵기 때문에 공격자가 취약점을 직접 찾았다고는 볼 수 없다"며 "다만 이번 사건으로 취약점을 쉽게 찾을 수 있는 환경은 상대적으로 용이해졌다"고 설명했다.

김승주 고려대 정보보호대학원 교수는 "시스템이 해킹되면 소스 코드 역분석을 통해 취약점을 찾아내는데 이번에는 소스 코드 자체가 유출됐으므로 이러한 방식은 어려울 것"이라며 "이번 사건을 계기로 미처 발견하지 못했던 취약점을 찾기 위한 전반적인 시스템 점검과 강화된 모니터링이 필요하다"고 강조했다.

이어 "삼성페이나 녹스의 소스 코드가 공개된 이상 취약점 분석이 좀 더 용이해질 수 있기 때문에 이에 대한 방안도 마련돼야 한다"고 덧붙였다.

◆ 왜 엔비디아·삼성전자를 공격했나…목적은 '돈'?

랩서스가 공개적으로 활동을 시작한 것은 지난해 12월 10일이다. 이들은 브라질 보건부를 공격한 후 데이터 유출을 피하고 싶으면 자신들에게 연락하라는 메시지를 텔레그램에 남겼다. 재차 보건부 홈페이지를 다운시킨 랩서스는 브라질 교통국을 비롯한 몇몇 공공기관을 공격했고 해킹 목적이 금전적인 이유임을 강조했다. 이들은 "우리의 유일한 목적은 돈이며 정치적인 동기는 없다"고 언급한 바 있다.

같은달 12일에는 텔레그램 채널 참여자를 대상으로 다음 공격 대상에 대한 의견을 물었고 화웨이(Huawei) 일부 기밀 문서와 아이폰X 설계도를 빼냈다며 일부 자료를 공유하기도 했다. 현재 이들이 탈취했다고 주장한 화웨이와 애플사의 문서는 PDF 파일 형식으로 게재됐다.

포르투갈 미디어사 등 기업을 상대로 해킹을 시도하던 이들은 올해 1월 13일과 21일 '큰 작업'을 진행하고 있다는 암시를 텔레그램에 남겼고 같은달 28일 엔비디아(Nvidia) 해킹 사실을 외부에 알렸다. 엔비디아 측에 보내는 협박성 메시지에 이어 '데이터 파트(Data part) 1'이라는 제목의 다운로드 링크와 함께 이달 1일에는 토렌트 파일까지 텔레그램에 남겼다. 엔비디아의 경우 1TB(테라바이트) 가량의 데이터가 유출된 것으로 알려졌다.

엔비디아에 이어 삼성전자를 공격한 랩서스는 지난 5일 해킹 사실을 공개한 후 한 시간도 채 되지 않아 자신들이 빼돌린 자료를 텔레그램에 올렸다. 이들 정체와 공격 의도에 대한 의견이 분분한 가운데 금전적인 이유를 비롯해 다각도로 분석해야 한다는 의견이 지배적이다.

앞서 엔비디아 자료를 탈취한 후 랩서스는 "우리는 국가 후원을 받지 않으며 정치에도 관여하지 않는다"고 전했다. 러시아가 우크라이나에 사이버 공격을 감행한 시점과 맞물리면서 이같은 국제 정세를 의식한 것으로 풀이된다.

문종현 이스트시큐리티 ESRC 센터장은 일반적인 랜섬웨어 해커조직과는 조금 다른 양상을 보인다고 분석했다. 문 센터장은 "텔레그램을 이용해 공개적으로 활동을 한다는 점, 이들의 등장이 러시아가 우크라이나에 사이버 공격을 감행한 시점과 맞물린다는 점, 대용량의 데이터를 한 번에 공개하고 있다는 점 등을 미뤄봤을 때 단순히 금전적인 이유는 아닐 것"이라고 분석했다.

이어 "기업 해킹을 좀 더 전략적으로 이용하려는 움직임으로 추정해 볼 수 있다"며 "이들의 공격 의도에 대해 모든 가능성을 열어두고 해석해야 한다"고 부연했다.

신 부사장은 "해킹 의도는 추후 공격자가 무엇을 요구하는지에 따라 정해질 가능성이 크다"며 "행보에 따라 당초 목적은 달라지므로 금전적인 이유로만 설명할 수는 없을 것"이라고 말했다.

랩서스가 엔비디아, 삼성전자 등에 이어 다음 공격 대상을 물색하고 있다. [사진=해커조직 랩서스 텔레그램 채널 화면 캡쳐]

◆ 진화하는 해킹 수법…"보안 취약점 종합 점검 필요"

전문가들은 모든 침해사고를 막는 것은 어렵기 때문에 사고 발생 후 피해 규모를 최소화할 수 있는 조치도 중요하다고 강조했다.

한 업계 관계자는 "해킹 기법이 날이 갈수록 지능화하고 있다"며 "사전 예방도 중요하지만 사고 후 피해를 최소화하기 위한 안전장치도 강화할 필요가 있다"고 말했다.

이어 "침입 흔적을 발견할 수 있겠지만 소프트웨어의 특성상 어디서 어떻게 유입됐는지 정확한 경로를 파악하기는 어려울 수 있다"면서 "해킹이 발생한 지점만 보안 조치를 강화하는 하는 것이 아니라 보안 취약점에 대한 종합적인 점검이 필요하다"고 덧붙였다.

/공동=김혜경 기자(hkmind9000@inews24.com),박진영 기자(sunlight@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]

Copyright © 아이뉴스24. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?