이석원 기자
마이크로소프트와 삼성전자, 엔비디아, 옥타 등 수많은 대기업에 공격을 가한 것으로 화제를 모은 해커 집단 라푸스$(LAPSUS$) 수사와 관련해 런던 경찰 당국이 16∼21세 젊은이 7명을 체포했다는 보도가 나왔다. 라푸스$ 리더는 영국에 거주하는 17세 소년이라고 추측되고 있지만 이번에 체포된 7명 중 이 소년이 포함되어 있는지는 불명이다.
라푸스$는 2020년경부터 남미를 중심으로 활동하고 있었지만 2022년경부터는 마이크로소프트나 삼성전자 등 글로벌 기업으로 표적을 옮겼다. 라푸스$는 많은 공격에서 소셜엔지니어링을 이용해 무단 액세스를 수행하고 있다고 한다. 라푸스$가 수행하는 소셜엔지니어링에는 타깃 내부 직원과 헬프데스크 같은 관계자를 속이거나 인수해 그룹으로 끌어들이는 방법이 포함되어 있다.
라푸스$ 리더(Oklaqq)가 올린 소셜엔지니어링 공범자 모집 메시지를 보면 ATT와 버라이즌, 티모바일 같은 통신사업자 직원에게 최대 2만 달러 보상을 지불하는 대신 타깃 SIM 카드를 탈취하는 SIM 스와핑 사기에 가담할 걸 요구하고 있다.
라푸스$는 SIM 스와핑을 통해 타깃 SMS나 음성 통화 등을 가로채는 것으로 직원이나 이메일 계정 리셋에 있어 2단계 인증을 돌파해 계정을 탈취하고 있다고 한다. 많은 하이테크 기업은 자사 사이버 보안에 신경을 쓰고 있지만 전화 기반 소셜엔지니어링을 이용한 해킹에 익숙하지 않다는 것이다.
이런 라푸스$ 리더에 대해선 특정 ID(WhiteDoxbin 혹은 「Oklaqq)로 활동하는 영국 거주 17세 소년일 가능성이 높아지고 있다. 이 소년은 타인 개인 정보를 공개, 공유하는 웹사이트(Doxbin) 운영을 둘러싸고 적대한 해커에 의해 자택 주소와 생년월일, 학력, 본인이나 가족 개인 사진까지 공개되고 있지만 보도에선 아직 미성년이기 때문에 본명 등 보도를 삼가하고 있다.
이 인물의 아버지로 여겨지는 인물이 인터뷰에서 말한 바에 따르면 소년이 라푸스$와 관계가 있는 걸 모르고 지금까지 해킹에 대해 얘기를 한 적도 없었다고 한다. 그는 아들은 컴퓨터에 익숙해 컴퓨터와 오랜 시간을 보내고 있다며 아들이 게임을 하고 있다고 생각했다고 밝혔다.
이런 가운데 런던 경찰 당국이 라푸스$ 관련 젊은이를 체포했다는 보도가 나왔다. 런던시 경찰은 해킹 그룹 멤버에 대해 파트너와 함께 수사를 하고 있으며 16∼21세 7명이 수사와 관련해 체포되어 모두 수사하고 석방했다며 수사는 진행 중이며 이번에 체포된 7명 중 리더가 포함되어 있는지 여부는 알 수 없다.
이번 체포와 관계가 있는지는 불분명하지만 라푸스$는 3월 23일 일부 멤버가 2022년 3월 30일까지 휴가를 취한다고 보고하고 있다. 한 전문가는 라푸스$ 회원이 마이크로소프트 해킹 중 내부 개발 환경에 액세스했다는 걸 자랑하는 게시물을 작성했다고 보고했다. 이런 점에서 라푸스$가 운영상 봉안 실수를 범하고 있다고 지적하고 이를 통해 회원 신원 확인으로 이어질 수 있다고 지적하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
