마이크로소프트 로고. © 로이터=뉴스1 © News1 정윤영 기자

마이크로소프트(MS)가 지난달 해외 신흥해커 조직인 랩서스(Lapsus$)로부터 공격을 받은 가운데, 최근에는 우크라이나를 겨냥한 러시아 해킹 시스템을 무력화한 것으로 나타났다.

11일 업계와 IT매체 더버지에 따르면, MS는 지난7일(현지시간) 공식 블로그에 올린 글에서 "러시아군 정보기관이 연계된 해커조직 '스트론튬'이 우크라이나 언론사를 공격할 때 사용하는 인터넷 도메인 7개를 무력화했다"고 밝혔다. 이 해커조직은 우크라이나 싱크탱크 기관과 미디어 기업뿐만 아니라 미국과 유럽연합(EU)를 겨냥한 공격을 시도한 것으로 파악됐다.

◇'스트론튬·팬시베어·APT28'로 불리기도…"러시아 정보기관 연관 조직"

'스트론튬'은 러시아 정보기관과 연관된 해커 조직으로, 정확한 명칭은 아직까지 확인되지 않았다. '스트론튬'이란 이름은 MS가 지은 것으로, 일반적으로 팬시베어(Fancy Bear) 또는 'APT 28'로 불린다. MS는 '스트론튬'의 해킹 시도와 관련된 정보를 우크라이나 정부에 통보한 것으로 나타났다. 톰 버트 MS 보안담당 부사장은 "앞으로 우크라이나 정부와 관련 조직과 긴밀히 협력하겠다"고 밝혔다.

'스트론튬'은 지난해 12월부터 활동한 랩서스보다는 역사가 깊은 것으로 알려졌다. MS는 "이 해킹조직은 지난 2016년 미국 민주당 전국위원회의 사이버 공격과 연계됐다"고 짚었다.

빅테크 기업이 스트론튬을 언급한 것은 이번이 처음은 아니다. 구글은 지난달 스트론튬과 벨라루스의 해킹그룹 고스트라이터가 우크라이나 관계자와 폴란드 군 일월을 상대로 피싱공격을 시도했다고 밝혔다.

◇보안업계 "MS도 '랩서스'에 소스코드 유출…이중·생체인증 권고"

업계는 마이크로소프트가 잡아낸 해커조직 '스트론튬'뿐만 아니라 랩서스에도 주목하고 있다. 지난달 20일 마이크로소프트 내부 정보를 빼낸 조직이기 때문이다.  

당시 조직은 △검색서비스 '빙' △지도검색 서비스 '빙 맵스' △음성비서 서비스 '코타나'를 포함한 여러 소스코드를 유출했다.

랩서스는 지난달 MS뿐만 아니라 △미국 반도체 기업 '엔비디아' △삼성전자 △LG전자 △미국 신원확인 소프트웨어(SW) 업체 '옥타'를 공격했다.  

기존 해커조직과 다르게 소셜네트워크서비스(SNS)인 텔레그램로 정보유출 소식을 알리고 대중에게 앞으로 해킹할 기업을 묻기도 했다.

잇단 국내외 해킹사례에 보안업계는 '제로 트러스트 기반'의 보안수칙을 강조하고 있다. "아무도 신뢰하지 않는다"는 의미로 시스템 접속시 보안관리에 신경을 써야 한다는 의미다.  

국내 보안기업 SK쉴더스가 지난달 공개한 보고서에 따르면, 랩서스는 주로 다크웹을 통해 임직원 계정을 구매하거나 계정 유출 기능이 담긴 피싱 메일을 발송해 내부 정보를 탈취했다고 밝혔다.

이와 함께 △주기적인 다크웹 모니터링 △PC 이중인증 △불필요한 원격 접근지 차단이 권고됐다.

과학기술정보통신부도 지난 6일 브리핑을 통해 "이중 인증을 반드시 사용하도록 해야 한다"며 "이메일 인증 등 해킹 위험도가 높은 방식을 사용하기보단, 가급적 소유기반 인증(생체인증·모바일 앱)을 사용해 외부 침투 가능성을 낮춰야 한다"고 강조했다.


woobi123@news1.kr