[보안뉴스 / 7.21.] 화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가

[보안뉴스 문가용 기자] 사이버 공격 단체인 랩서스(LAPSUS$)가 최근 매우 조용하다. 등장하자마자 마이크로소프트, 엔비디아, 옥타 등 손꼽히는 기업들을 연달아 뚫어내면서 초미의 관심사가 됐던 것과 상반된 모습이다. 하지만 보안 전문가들은 아직 랩서스가 사라진 건 아니라고 경고한다. 보안 업체 테너블(Tenable)이 랩서스를 계속해서 추적해 조사한 결과를 발표했다. 테너블은 “지금 당장 랩서스가 사라진다고 하더라도 해킹 역사에 길이 남을 독특한 그룹임에는 틀림없다”고 결론을 내렸다.

혼돈과 ‘어딘가 어설픈’ 계획성
테너블의 수석 연구 엔지니어인 클레어 틸즈(Claire Tills)는 “랩서스는 펑크 록 밴드와 같은 해커”라고 말한다. “그러나 제가 랩서스를 경이롭다거나 멋있다고 말하는 건 아닙니다. 이들은 공격을 실행하고 피해자를 위협하는 과정에서 매우 큰 혼란을 야기하며, 그들 스스로도 논리적인 접근법을 갖추지 못했습니다. 뭔가 그때 그때의 기분이나 상황에 충실한 것으로 보였고, 그것 때문에 이들을 추적하거나 다음 공격을 예측하는 게 상당히 어려웠습니다. 그것 때문에 여러 방어막이 뚫린 것도 사실입니다.”

랩서스는 탈중앙화라는 개념으로 운영되던 범죄 단체였다. 중앙에서 관리하던 자가 없었으며, 공격 표적을 정하는 문제에 있어서도 ‘크라우드소싱’이라는 기법을 사용했다. 주변 사람들이 정해주는 대로 움직였다는 것이다. 그렇기 때문에 이들의 표적에는 일관성이라는 게 없다. 누구나 랩서스의 표적이 될 수 있다는 뜻으로, ‘누가 우리를 공격하겠어?’라는 식으로 방어 체계를 꾸린다면 랩서스와 같은 단체에는 바로 뚫린다는 게 틸즈의 설명이다.

“그렇기 때문에 지금 랩서스의 활동이 뜸하다고 해서 이들이 사라졌다고 결론을 내리기 힘듭니다. 움직임에 논리나 일관성이 전혀 없기 때문이죠. 언제 또 다른 이름으로 나타나 활동을 할지 모르는 일이고, 지금은 또 왜 휴식을 취하고 있는지도 가늠할 수 없습니다.” 랩서스의 이런 활동은 사이버 범죄자들 사이에서도 큰 이목을 끌었고, 많은 영감을 준 듯하다. 틸즈는 “랩서스를 흉내 낸 그룹들의 움직임이 최근 많아지고 있다”며 “랩서스를 추앙하는 자들이 은근히 많이 있다”고 설명한다.

이렇게 ‘불규칙성’으로 점철된 그룹인 듯 하지만 랩서스도 보여주는 한 가지 패턴이 존재하는데, 바로 클라우드 환경에 대한 공격을 즐겨한다는 것이다. 클라우드에 값비싼 정보가 저장되는 사례가 점점 늘어나기 때문인 것으로 보인다. “게다가 클라우드의 사용자들이 전반적으로 미숙하기도 합니다. 그래서 설정 오류가 자주 일어나죠. 설정이 잘못된 것만 찾아내면 굳이 해킹을 하지 않아도 정보를 손쉽게 가져올 수 있습니다. 랩서스 역시 이런 점을 간과하지 않은 것으로 보입니다.”

랩서스 역시 다른 사이버 공격 단체와 마찬가지로 소셜엔지니어링 기술을 자주 사용했다고 테너블은 밝히고 있다. “소셜엔지니어링은 최초 침투를 감행하는 데 있어 매우 효율적인 전략입니다. 이는 사람을 표적으로 삼는 전략으로, 이미 수없이 많은 성공 사례를 가지고 있습니다. 그렇기에 다중인증 시스템을 도입하는 게 안전하다고 권장되고 있는 것입니다.” 그 외에도 랩서스는 오래된 취약점들을 능숙하게 익스플로잇 한 것으로도 분석됐다.

랩서스 멤버들, 왜 조용한가
랩서스는 지난 몇 개월 동안 별다른 활동 없이 시간을 보냈을까? 전문가들은 그 침묵의 시간이 이들의 사라짐을 뜻하는 건 아니라고 말한다. “보통 사이버 범죄자들은 활동을 접었을 때 공격 도구를 강화한다거나 새로운 전략을 도입합니다. 즉 공격자들로서 자신들의 칼날을 더 날카롭게 다듬는 것이죠. 혹은 자신들에게 지나치게 많은 관심이 쏠렸을 때 관심을 다른 곳으로 돌리기 위해 휴식기를 갖기도 합니다.” 보안 업체 인텔471(Intel471)의 첩보 국장인 브래드 크롬턴(Brad Compton)의 설명이다.

“물론 소리 소문 없이 체포됐을 가능성이 없다고 할 순 없습니다. 실제 그런 일들이 일어나기도 하죠. 하지만 랩서스는 활동이 왕성했을 때 타 해킹 그룹이나 해킹 전문가들과 많은 교류를 하던 단체였습니다. 원래 멤버들이 체포됐다 하더라도 누군가 랩서스의 뒤를 쉽게 이을 수 있는 상황이라는 것이죠. 멤버들의 체포로 마비된 멀웨어가, 동료나 다른 파트너에 의해 되살아나는 사례는 얼마든지 있습니다. 랩서스는 많은 공격자들에게 영감을 준 그룹이므로, 이들의 뒤를 잇는다는 게 많은 해커들에게 일종의 ‘로망’이 될 수도 있습니다.”

아무리 독특해도 결국은 돈을 노린 강도들
버그바운티 플랫폼 버그크라우드(Bugcrowd)의 CTO인 케이시 엘리스(Casey Ellis)는 “랩서스가 아무리 제멋대로 대범하게 움직인다고 해도 결국 최종 목표는 돈일 수밖에 없다”며 “그런 관점에서 보면 이들이 완전히 예측 불허라고 하기 힘들다”는 입장이다.

“다만 현존하는 방어 체계의 관점에서는 ‘예측 불허’일 수 있습니다. 지난 5년 동안 보안 업계는 비교적 정해진 전략 안에서 정확한 목표를 가지고 군더더기 없이 움직이는 공격자들에 대항한 방어 체계를 누적시켜 왔습니다. 교과서에 나올 법한 상대들에 맞서기에는 꽤나 강력한 방어력을 갖추게 된 것이지요. 기술, 교육, 정책 모든 면에서 말이죠. 그런데 그런 전형적인 틀을 깨버리는 단체가 나오니 우리의 방어 시스템이 무력해지는 겁니다. 제가 걱정하는 건 그런 부분입니다. 랩서스가 의도를 했던 하지 않았던, 그 랩서스를 통해 돌출된 현대 방어 시스템의 약점을 누군가 통찰력 있게 파악할 수 있다는 점 말이죠. 그럴 때 보안의 근간을 뒤흔드는 세력이 출현할 수 있습니다.”

엘리스는 “랩서스는 유명 핵티비스트 단체인 어나니머스(Anonymous)와 비슷한 방식으로 움직일 것”이라고 예상하고 있다. “둘의 목적은 완전히 다릅니다. 하나는 돈을 벌기 위해 움직이고, 다른 하나는 자신들의 이상을 전파하기 위해 움직이는 것이니까요. 하지만 운영 방식 자체는 꽤나 비슷해 보입니다. 중앙에서 누군가 멤버들을 통제하는 게 아니라, 각 멤버들이 독자적으로 움직인다는 점에서는 말이죠. 랩서스도 한 동안은 그런 식으로 움직일 것으로 예상합니다.”

하지만 어나니머스 식 운영 방식이 반드시 장점만 가지고 있는 건 아니다. “2010년 초반 어나니머스가 급부상하고, 다양한 하위 그룹들이 출현했지요. 하지만 얼마 가지 않아 힘도 명성도 약해졌습니다. 지금도 어나니머스라고 이름을 걸고 활동하는 자들이 있긴 하지만 그들이 정말 원래의 어나니머스 멤버인지도 모르겠고, 가끔은 예고만 요란하게 하지 실제 실적은 초라할 때가 많죠. 하위 그룹들 간에 상충하는 모습을 보이기도 하고요. 그런 면에서 돈이라는 강력한 공동의 목적을 가진 랩서스가 어떤 식으로 진화할 지가 궁금하기도 합니다.”

그런 ‘탈중앙화’ 구성 때문에 랩서스가 아주 사라졌을 가능성이 낮지 않다고 엘리스는 보고 있다. “구성원 모두가 동일한 권리와 자율성을 가진 채 운영되는 단체라는 건 얼마 안 가 와해되는 경우가 꽤나 많습니다. 뭔가가 중심에서 구심점이 되어주는 곳이 장기적으로는 더 안정적일 때가 많죠. 랩서스가 화려하게 등장해 이목을 끌었지만, 내부의 구조 때문에 서로 흩어졌을 가능성이 낮지 않다고 봅니다. 다만 방어를 담당하는 자로서 ‘그랬을 지도 모른다’는 것을 섣불리 믿어버린다는 건 위험한 일이기 때문에 확실한 증거가 나올 때까지는 랩서스가 살아 있다고 생각하는 편이 낫습니다.”

3줄 요약
1. 화려한 전적 보여주었던 랩서스, 요즘 조용한 게 더 수상.
2. 랩서스는 탈중앙화라는 개념으로 조직됐고, 불규칙한 방식으로 움직여 방어가 쉽지 않음.
3. 랩서스 멤버들 체포됐을 수도 있고, 칼을 갈고 있을 수도 있고.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>