테크레시피

삼성전자, 190GB 기밀 데이터 해킹 당했다?

해커 집단인 라푸스$(Lapsus$)가 삼성전자로부터 기밀 데이터 190GB를 훔쳐 인터넷에 데이터를 유출했다고 발표했다. 라푸스$는 2022년 3우러 반도체 제조사인 엔비디아로부터 1TB 분량 데이터를 훔친 바 있다.

라푸스$는 삼성전자에서 훔친 기밀 데이터 가운데 C언어, C++ 지시문 스크린샷을 공개하고 훔친 데이터에는 삼성전자 기밀인 소스 코드도 포함되어 있다고 어필하고 있다. 라푸스$가 훔친 삼성전자 기밀 데이터에 대해 설명한 게 정확하다면 삼성전자는 회사에 심각한 피해를 줄 수 있는 데이터 침해로 고통받을 수 있다는 분석이다. 설명을 보면 하드웨어 암호화와 바이너리 암호화, 액세스 제어 등 민감한 작업에 사용되는 삼성 트러스트존(TrustZone) 환경에 설치된 모든 TA(Trusted Applet) 소스 코드, 모든 생체 인증 잠금 해제를 위한 알고리즘, 최근 모든 삼성 기기에 채택된 부트로더 소스코드, 민감한 퀄컴 소스 코드, 삼성 정품 인증 서버 소스 코드, API와 서비스를 포함한 삼성 계정 승인과 인증에 사용되는 기술에 대한 완전한 소스 코드다.

라푸스$는 훔친 데이터를 압축 파일 3개로 나누고 1190GB 폴더를 통합해 토렌트에서 공유한다. 라푸스$는 3개 부분으로 나뉘어진 데이터에 대해 파트1에는 보안/방어/녹스/부트로더/신뢰할 수 있는 응용 프로그램과 기타 항목에 대한 소스코드와 관련 데이터 덤프가 포함된다고 밝히고 있다. 파트2에는 기기 보안과 암호화에 대한 소스 코드와 관련 데이터 덤프를 포함하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자

월간 아하PC, HowPC 잡지시대를 거쳐 지디넷, 전자신문인터넷 부장, 컨슈머저널 이버즈 편집장, 테크홀릭 발행인, 벤처스퀘어 편집장 등 온라인 IT 매체에서 '기술시대'를 지켜봐 왔다. 여전히 활력 넘치게 변화하는 이 시장이 궁금하다.

뉴스레터 구독