해커 집단인 라푸스$(Lapsus$)가 삼성전자로부터 기밀 데이터 190GB를 훔쳐 인터넷에 데이터를 유출했다고 발표했다. 라푸스$는 2022년 3우러 반도체 제조사인 엔비디아로부터 1TB 분량 데이터를 훔친 바 있다.
라푸스$는 삼성전자에서 훔친 기밀 데이터 가운데 C언어, C++ 지시문 스크린샷을 공개하고 훔친 데이터에는 삼성전자 기밀인 소스 코드도 포함되어 있다고 어필하고 있다. 라푸스$가 훔친 삼성전자 기밀 데이터에 대해 설명한 게 정확하다면 삼성전자는 회사에 심각한 피해를 줄 수 있는 데이터 침해로 고통받을 수 있다는 분석이다. 설명을 보면 하드웨어 암호화와 바이너리 암호화, 액세스 제어 등 민감한 작업에 사용되는 삼성 트러스트존(TrustZone) 환경에 설치된 모든 TA(Trusted Applet) 소스 코드, 모든 생체 인증 잠금 해제를 위한 알고리즘, 최근 모든 삼성 기기에 채택된 부트로더 소스코드, 민감한 퀄컴 소스 코드, 삼성 정품 인증 서버 소스 코드, API와 서비스를 포함한 삼성 계정 승인과 인증에 사용되는 기술에 대한 완전한 소스 코드다.
라푸스$는 훔친 데이터를 압축 파일 3개로 나누고 1190GB 폴더를 통합해 토렌트에서 공유한다. 라푸스$는 3개 부분으로 나뉘어진 데이터에 대해 파트1에는 보안/방어/녹스/부트로더/신뢰할 수 있는 응용 프로그램과 기타 항목에 대한 소스코드와 관련 데이터 덤프가 포함된다고 밝히고 있다. 파트2에는 기기 보안과 암호화에 대한 소스 코드와 관련 데이터 덤프를 포함하고 있다. 관련 내용은 이곳에서 확인할 수 있다.