마이크로소프트나 우버, 엔비디아 등 대기업을 해킹하고 록스타게임즈 인기 타이틀인 GTA6 데이터를 유출해 주목받은 해커 집단인 라푸스$(LAPSUS$) 주요 멤버가 18세 소년이었다고 영국 런던 법원이 인정했다.
라푸스$는 2022년 초부터 잇따라 대기업 해킹을 성공시킨 해커 집단. 주요 멤버는 영국과 브라질에 거주하는 10대 청소년이었던 것으로 보인다. 라푸스$에 해킹된 기업에는 엔비디아나 삼성전자, 우버, 티모바일 등이 있어 글로벌 대기업에 대한 해킹을 10대 청소년이 성공시킨 건 상당한 충격을 줬다.
런던시 경찰은 2022년 3월 라푸스$ 해킹에 관여했다며 16∼21세 젊은이 7명을 체포했다. 경찰에 체포된 멤버 중에는 영국 옥스퍼드 출신으로 리더 중 1명으로 보이는 아리온 쿠르타이(Arion Kurtaj)라는 인물이 있었다. 티폿우버해커(Teapotuberhacker)라는 닉네임으로 활동한 그는 인터넷 사용을 금지한다는 조건으로 보석됐지만 보석 중 머물렀던 호텔에 아마존 파이어 스틱을 가져와 새로 구입한 스마트폰이나 키보드로 클라우드 컴퓨팅 서비스에 액세스했다고 한다.
보석 중에도 락스타게임즈 해킹을 실시해 개발 중이던 GTA6 데이터를 유출했다. 이에 따라 당시 17세였던 그는 다시 체포됐다. 보도에 따르면 현재 18세인 쿠르타이는 정신과 의사로부터 자폐 스펙트럼증으로 진단되어 재판에 나서는데 적합하지 않다고 진단되어 나가지 않았다고 한다. 배심원은 쿠르타이가 의도하고 죄를 범했는지 여부를 고려하지 않고 검찰에 의해 주장된 행위를 했는지 여부에만 초점을 맞추고 판단하도록 요구됐다고 한다.
이어 런던 법원은 쿠르타이가 공갈, 사기, 컴퓨터 불법 사용법 등 12가지 건으로 유죄라고 인정했다. 또 라푸스$ 멤버인 쿠르타이와 마찬가지로 자폐 스펙트럼증을 가진 17세 멤버도 유죄 판결을 받았지만 미성년자여서 이름은 공개되지 않았다.
라푸스$ 특징은 대상 SIM 카드를 이용한 SIM 스와핑을 이용해 타깃 SMS나 음성 통화 등을 도청해 2단계 인증을 돌파하는 소셜 엔지니어링을 한 점을 들 수 있다. 라푸스$는 통신사업자 직원에게 최대 주 2만 달러 보수를 지불해 SIM 스와핑에 가담시켰다고 한다. 보도에선 라푸스$ 사건은 사이버 범죄자가 대다수 기업 보안 대책을 피하는 게 얼마나 쉬운지 보여준다며 잇따른 대기업 해킹 성공은 사이버 보안 재고로 이어졌다고 지적하고 있다. 실제로 미국토안보부 사이버안전심사위원회는 8월 라푸스$ 활동을 분석해 조직이 실시해야 할 방어책에 대해 정리한 보고서를 발표했다. 관련 내용은 이곳에서 확인할 수 있다.