[시큐리티팩트=김상규 기자] S2W는 21일 랩서스(LAPSUS$) 해킹 그룹 관련 분석 내용 및 대응 방안을 소개했다.
S2W의 분석에 따르면 랩서스 해킹 그룹은 2021년 5월부터 딥웹 포럼에서 활동을 시작한 것으로 추정된다. 특히 텔레그램에서는 브라질의 보건부에 대한 최초 데이터 유출을 시작으로, 글로벌 기업뿐만 아니라 국내 대기업들의 주요 데이터를 유출하여 전 세계의 이목을 끌고 있다.
최소 5명 이상의 멤버들로 구성되어 있는 것으로 추정되는 이 그룹의 가장 큰 목적은 금전적 이득으로 추정된다. 대기업의 강력한 보안 게이트들의 허점을 파고들어 데이터를 유출시켰다는 점에서 상당한 실력자들로 구성되어있는 것으로 알려져있다.
랩서스가 공개한 스크린샷 및 채팅 기록에는 유효한 VPN, RDP(원격데스크톱프로토콜), AWS 및 Azure 등의 크리덴셜을 통해 접속을 하는 비중이 매우 높아 외부에 공개된 취약한 서버와 유출된 크리덴셜을 주로 활용하는 것으로 추정된다.
S2W가 분석한 랩서스 공격 타임라인에 따르면, 랩서스가 활동하고 있는 채널은 해킹 포럼과 텔레그램 방이었다. 최근에는 Matrix라는 서비스로 채널을 이동하였다. S2W는 랩서스 공격에 대한 사전 모니터링 체계로 해커들의 침투 수법과 대응 방향에 대해 고객사에 사전 공유한 바 있다.
곽경주 S2W CTI부문(TALON) 총괄 이사는 “데이터가 공식적으로 유출되기 전에, 신속히 관련 내용을 전달받아 대비책 및 탈취 정보 확산에 대응을 할 수 있는 것은 그렇지 못한 상황과 비교했을 때 큰 차이가 있다”면서 “고급 보안 정보의 다자간 공유가 앞으로 더 중요해 질 것이라 확신한다”라고 말했다.
한편 S2W는 오는 4월 28일(목) 오후 3시에 삼성동 코엑스 2층 ‘스튜디오 159’에서 글로벌 위협 인텔리전스(CTI) 플랫폼인 ‘Quaxar(퀘이사)’ 발표 행사를 개최한다. 퀘이사는 다양하게 수집된 정보에서 핵심적인 부분들만 정제하여 사용자에게 맞춤형 인텔리전스를 제공한다. 퀘이사만이 가지는 액티브한 정보(Active Intelligence)로 아직 외부에 알려지지 않은 위협들에 대응할 수 있다.