S2W, 랩서스 그룹 분석 및 대응 방안 발표
2022년 04월 22일
트위터로 보내기페이스북으로 보내기구글플러스로 보내기

S2W(대표 서상덕)는 랩서스(LAPSUS$) 해킹 그룹 관련 분석 내용 및 대응 방안을 소개했다. 랩서스(LAPSUS$) 해킹 그룹 관련 분석 내용 및 대응 방안에 대한 구체적인 내용은 오는 28일(목) 코엑스에서 진행되는 글로벌 위협 인텔리전스(CTI) 플랫폼인 ‘Quaxar(퀘이사)’ 발표 행사에서도 소개된다. 

 

S2W의 분석에 따르면 랩서스 해킹 그룹은 2021년 5월부터 딥웹 포럼에서 활동을 시작한 것으로 추정된다. 특히 텔레그램에서는 브라질의 보건부에 대한 최초 데이터 유출을 시작으로, 글로벌 기업뿐만 아니라 국내 대기업들의 주요 데이터를 유출하여 전 세계의 이목을 끌고 있다. 

 

최소 5명 이상의 멤버들로 구성되어 있는 것으로 추정되는 이 그룹의 가장 큰 목적은 금전적 이득으로 추정되며, 대기업의 강력한 보안 게이트들의 허점을 파고들어 데이터를 유출시켰다는 점에서 상당한 실력자들로 구성되어있는 것으로 추정된다. 

 

랩서스가 공개한 스크린샷 및 채팅 기록에는 유효한 VPN, RDP(원격데스크톱프로토콜), AWS 및 Azure 등의 크리덴셜을 통해 접속을 하는 비중이 매우 높아, 외부에 공개된 취약한 서버와 유출된 크리덴셜을 주로 활용하는 것으로 추정된다. 

 

S2W가 분석한 랩서스 공격 타임라인은 다음과 같다 

 

6b4c836b10e621fde30ada75234dfbee_1650566225_7974.jpg

Figure 1. 랩서스 데이터 유출 내역 타임라인

 

6b4c836b10e621fde30ada75234dfbee_1650566140_3428.png

Figure 2. S2W 랩서스 관련 내용 인지 및 대응 타임라인 

 

랩서스가 활동하고 있는 채널은 해킹 포럼과 텔레그램 방이었으며, 최근에는 Matrix 라는 서비스로 채널을 이동하였다. S2W는 랩서스 공격에 대한 사전 모니터링 체계로 신속 인지하여, 해커들의 침투 수법과 대응 방향에 대해 고객사에 사전 공유한 바 있다. 

 

S2W CTI부문(TALON) 총괄 곽경주 이사는 “데이터가 공식적으로 유출되기 전에, 신속히 관련 내용을 전달받아 대비책 및 탈취 정보 확산에 대응을 할 수 있는 것은 그렇지 못한 상황과 비교했을 때 큰 차이가 있다”면서 “고급 보안 정보의 다자간 공유가 앞으로 더 중요해 질 것이라 확신한다”라고 말했다.

 

**참고) TALON: S2W CTI 부문 내에 전문 분석팀으로 랜섬웨어 조직 등 사이버범죄 집단의 인프라 추적, 공격도구 분석을 전담하는 팀이다. 

 

견고한 보안 체계 구축과 지속적으로 최신 인텔리전스 확보해야

랩서스는 앞으로도 활발하게 활동할 가능성이 높으며 각 기업 및 기관에서는 해당 공격그룹에 대한 지속적인 인텔리전스 수집 및 대비가 필요하다. 

 

딥웹 다크웹을 활용한 언더그라운드 해커들의 조직적이고 체계적인 공격은 단순하게 운영되는 보안 장비만을 이용해서는 대응에 한계가 있다. 해당 장비들을 효율적으로 운영할 수 있는 인텔리전스와 인력이 필요하다. 

 

따라서, 각 기업은 다양한 위협 정보를 분석하고 처리할 수 있는 전문 인력들을 내부에 배치하고, 방어막을 촘촘히 하여 전세계적으로 이슈가 되는 보안 사건 사고들에 나(우리 기업)와 관련된 정보들은 어떤 것이 있을지, 우리는 어떻게 대응할 수 있는지 끊임없이 시뮬레이션하면서 대응전략을 수립하는 것이 필요하다.

그래픽 / 영상
많이 본 뉴스