16일 한국인터넷진흥원(KISA)은 올해 상반기 사이버보안 동향을 분석한 결과 이 같은 신생 해커조직 활동이 두드러졌다고 밝혔다. 올해 상반기 해킹 범죄를 가장 많이 저지른 집단은 랩서스(Lapsus$)다. 이들은 삼성전자와 LG전자, 엔비디아, 마이크로소프트, T모바일 등 세계 굴지의 제조기업과 소프트웨어, 통신기업을 잇따라 해킹하며 악명을 떨쳤다. 랩서스가 처음 모습을 드러낸 건 지난해 하반기부터다.
통상 해커그룹은 기업 시스템에 침투해 주요 데이터를 암호화하는 방식으로 핵심 비즈니스를 중단시키곤 한다. 반면 랩서스는 이러한 방식이 아닌, 주요 데이터를 먼저 탈취한 뒤 외부에 이를 공개한다고 협박하며 대가를 요구하는 수법을 썼다.
내부 직원이나 협력업체 관계자의 시스템 접근 크리덴셜(자격증명)을 빼내기 위해 가짜 웹사이트 접속을 유도하거나 직접 접촉해 돈을 주고 사기도 했다. 다크웹(접속하기 위해 특정 소프트웨어를 사용해야 하는 웹 콘텐츠)을 일일이 뒤져 기업 내부 시스템에 접속하기 위한 정보를 빼내는 집요함도 보였다. 수집한 직원정보를 활용, 헬프데스크에 직접 전화해 직원의 자격증명 권한을 재설정한 뒤 더 민감한 정보 접근권을 얻어내기도 했다.
━
신생조직, 스위스항공사 마비…"제로트러스트 관점 대응 필요"━
기존 유명 해커그룹들이 글로벌 기업 대신 정부 기관을 겨냥하는 양상도 눈에 띈다. 다수 그룹들이 정부기관을 배후에 두고 있는데, 최근 러시아의 우크라이나 침공이 이어지면서 '냉전'이 사이버 세계로 확대됐기 때문이다. 러시아 정부 배후 해커그룹인 '락빗2.0(Lockbit 2.0)'는 지난 5월 전투기 훈련서비스를 제공하는 캐나다의 글로벌 민간 군사훈련업체 '탑 에이시스(Top Aces)'를 공격, 방위산업 정보를 포함한 44GB 용량의 데이터를 탈취했다. 또 다른 러시아 계열 랜섬웨어 그룹 '콘티(Conti)'는 코스타리카와 페루 정부를 공격했다. 코스타리카는 재정부처 서비스 마비로 국가 비상사태까지 선포했다.
전문가들은 전 세계 생산·소비 활동이 글로벌 가치사슬로 촘촘히 연결돼있다보니 신생 해커그룹들도 약한 고리를 찾아 뚫고 들어온다고 입을 모은다. 보안기술 발전에 발맞춰 해커집단 역시 진화를 거듭하고 있다. 이재광 KISA 종합분석팀장은 "'제로 트러스트(아무도 신뢰하지 않는다는 전제의 보안모델)' 관점에서 보안원칙을 재점검해야 한다"며 "내부에서 이뤄지는 다양한 행위를 끊임없이 검증하는 노력이 필요하다"고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]