신흥 해커조직 랩서스, 미국 2위 이동통신사 'T모바일 해킹' © News1 이지원 디자이너

올상반기 삼성전자와 LG전자를 공격한 남미기반 해커조직 '랩서스'가 지난달 미국 2위 이동통신사인 'T모바일'을 해킹했다.

25일 미국 IT매체인 더버지에 따르면, 랩서스는 지난 3월 'T모바일'의 보안 시스템을 뚫고 들어가 프로젝트와 관련된 소스코드를 빼냈다. T모바일 측은 랩서스의 공격을 인정하면서도 고객과 정부의 중요한 정보는 유출되지 않았다고 밝혔다. 랩서스는 이번에도 추적이 어려운 다크웹 같은 사이트에서 직원들의 개인정보를 확보해 공격한 것으로 알려졌다. 매체는 "조직은 온라인으로 직원의 계정을 구한 뒤 고객 관리 시스템인 '아틀라스'(Atlas)에 접근했고 '심스와핑'을 수행했을 수도 있다"고 밝혔다.

심스와핑은 다른 사람의 스마트폰 유심을 복사해 개인정보를 털어가는 범행이다. 공격자가 문자 메시지까지 가로채 암호 재설정을 위한 일회성 코드까지 탈취할 수 있을 만큼 위험도가 높은 공격 수법이다.

해커는 미국 연방수사국(FBI)과 국방부의 T모바일 계정에도 해킹을 하려고 했지만, 시스템 내부 검증조치를 뚫지 못해 계획을 접었다고 매체는 보도했다. T모바일은 랩서스의 공격을 확인하자마자 빠르게 차단했다는 입장이다. 회사는 매체에 보낸 이메일에서 "몇주 전 모니터링 도구가 도난당한 (직원의) 접근 권한을 이용해 내부 시스템에 접속하려는 악의적인 행위를 감지했다"며 "우리의 (보안) 시스템은 설계된 대로 작동했고 침입은 신속히 차단됐다"고 강조했다.

랩서스는 지난해 12월부터 활동한 남미기반 해커조직이다. 지금까지 △미국 반도체 기업 '엔비디아' △삼성전자 △LG전자 △미국 신원확인 소프트웨어(SW)업체 '옥타' △마이크로소프트와 같은 글로벌 빅테크 기업을 주로 공격했다.

기존 해커조직과 다르게 소셜네트워크서비스(SNS)인 텔레그램으로 정보유출 소식을 알리고 대중에게 앞으로 해킹할 기업을 물어 업계의 주목을 더욱 받았다.

랩서스의 여러 공격수법이 추정되는 가운데, 조직은 무엇보다 회사 임직원 계정 정보를 얻는데 공을 들인 것으로 분석됐다.

SK쉴더스 측은 지난 21일 '사이버 보안 미디어 세미나'에서 "해커들은 공격 대상지에 들어가기 전에 소셜네트워크서비스(SNS)나 다크웹에서 사전정보를 획득했다"며 "이메일로 악성코드를 보내 계정정보를 빼내기도 했다"고 말했다.

조직은 어둠의 경로로 임직원 아이디와 비밀번호를 구하면 다음 단계로 일명 '크리덴셜 스터핑 기법'을 활용한 것으로 분석됐다. 국내 보안 리서치 업체인 에스투더블유(S2W)가 지난 21일 공개한 보고서에 따르면, 랩서스는 다른 곳에서 유출된 계정을 서버에 무작위 대입해 로그인 정보가 들어맞을 경우 해당 서버에서 정보를 탈취했다.  

보안업계는 랩서스 같은 해커조직에 대응할 수 있는 방법으로 '제로트러스트 전략'을 제안한다. '아무도 믿지 않는다'는 의미의 사이버 보안 모델로, 미국 바이든 행정부가 지난 1월 발표한 국가 보안 전략이기도 하다. 철저한 인증절차와 신원확인을 원칙으로 내세우는 게 특징이다.

쉽게 말하자면 △주기적인 다크웹 모니터링 △PC 이중인증 △불필요한 원격 접근지 차단이 권고되고 있다.

과학기술정보통신부도 지난 6일 브리핑을 열고 "이중 인증을 반드시 사용하도록 해야 한다"며 "이메일 인증 등 해킹 위험도가 높은 방식을 사용하기보단, 가급적 소유기반 인증(생체인증·모바일 앱)을 사용해 외부 침투 가능성을 낮춰야 한다"고 강조했다.

한편 T모바일이 해킹 공격을 받은 것은 이번이 처음은 아니다. 지난 2021년 8월 신원미상의 해커들로부터 4000만명이 넘는 고객의 개인정보가 유출되는 사고를 겪었다. 당시 월스트리스트저널(WSJ)에 따르면 피해 고객으로 △후불제 가입자 780만 여명 △선불폰 고객 85만명 △T모바일에 신용조회를 신청한 과거·잠재 고객 4000여 명이 포함됐다.


woobi123@news1.kr