삼성·LG 뚫었던 해커집단 ‘랩서스’ 정체… 핵심 멤버는 자폐증 10대

/일러스트=조선디자인랩 이민경

영국 10대 청소년 두 명이 2021년부터 세계적인 대기업들을 연달아 공격한 국제 해커집단 ‘랩서스’(LAPSUS＄)의 핵심 멤버라는 현지 법원 결론이 나왔다. 다만 이들이 자폐증을 앓고 있어 그동안의 범행 의도에 대해서는 따지지 않은 것으로 전해졌다.

23일(현지시각) BBC 등에 따르면 영국 서더크 형사법원 배심원단은 아리온 쿠르타지(18)와 이름이 공개되지 않은 A(17)가 랩서스의 일원으로서 컴퓨터 해킹·협박·사기 등의 범행을 저질렀다는 결론을 내렸다. 단 랩서스 구성원들이 모두 다 붙잡힌 것은 아니다.

랩서스는 영국과 브라질 출신 10대들이 주축으로 알려져 있으며 ‘디지털 도적단’으로도 불린다. 2021년 10월 브라질 보건부를 해킹하고 협박을 위한 텔레그램 채널을 개설하면서 본격적인 활동을 시작했다. 전 세계적으로 이름을 알린 건 지난해 2월 삼성전자, LG전자, 마이크로소프트(MS), 엔비디아 등 글로벌 기업들을 잇달아 해킹해 내부 정보를 유출하면서다.

이들은 소셜미디어로 정보 유출 소식을 알리고 대중에게 다음 공격 대상을 묻는 등 기존 해커조직과 다른 모습을 보였다. 협상보다 공격 대상의 정보를 빼내는 데 집중했고 자신들의 성공적인 범행을 축하하며 피해자들을 조롱하는 모습도 보였다. 때문에 돈벌이 보다 재미와 위상 강화를 목적에 두고 있다는 전문가 분석이 나오기도 했다.

앞서 쿠르타지와 A는 2021년 7월 온라인에서 만나 영국 대형 통신사 BT·EE 서버와 데이터파일을 해킹하고 310만 파운드(약 52억2700만원)를 요구한 바 있다. 당시 돈을 받진 못했지만 피해자 5명의 휴대전화 심 카드 정보를 이용해 암호화폐 계정에서 약 10만 파운드(약 1억6800만원)를 훔쳤다.

두 사람은 이듬해 1월 체포됐다가 수사 중 풀려난 뒤에도 범행을 이어갔다. 그러다 같은 해 2월 미 반도체 업체 엔비디아를 해킹하는 과정에서 다시 붙잡혔다. 이후 쿠르타지는 인터넷 접속 금지 등 조건을 단 보석으로 풀려나 호텔에 머물렀으나 온라인 은행 레볼루트, 우버, 락스타게임즈 해킹에 재차 관여한 것으로 파악됐다.

이번 재판은 약 두 달간 진행됐다. 그러나 쿠르타지와 A는 ‘자폐증으로 인해 출석하기 적합하지 않다’는 의사들 조언에 따라 법정에 나오지는 않았다. 배심원들도 이들이 범행이 저질렀는지만 판단하고 범행 의도에 대해서는 별도로 따지지 않았다. 쿠르타지는 다음 재판 때까지 구금될 예정이다.