지난 5일(현지시각) 남미 해킹집단인 랩서스(Lapsus$)가 삼성전자를 해킹해 대량의 기밀 정보를 탈취했다고 주장하면서 업계가 발칵 뒤집혔다. 이런 주장은 랩서스가 삼성의 데이터를 폴더 3개로 압축해 파일 공유 프로그램인 ‘토렌트’에 올리면서 사실로 확인됐다. 현재 공개된 파일을 합치면 용량은 190GB(기가바이트). 내용을 들여다보기 위해 파일을 다운로드 받는 데만 수시간, 네트워크 상태에 따라 최대 하루까지도 소요되는 것으로 알려지고 있다. 압축을 풀면 총 용량은 402GB로 두 배쯤 늘어난다. 랩서스가 쥐고 있는 정보의 일부인지, 전부인지는 알 수 없는 상태다.
해당 파일을 전부 내려 받아 일부 내용을 직접 들여다본 보안 연구원(Security Researcher)과 7일 이메일로 인터뷰했다. 보안 연구원은 “최근 출시된 갤럭시S22부터 이전 스마트폰까지 소스코드가 싹 공개돼 있다”며 “경쟁업체로선 해당 기능을 따라 만들거나 금방 기술을 따라잡을 수 있게 된다”고 설명했다. 그는 “개인정보가 유출된 것이 아니기 때문에 일반 사용자에겐 큰 의미가 없을 수 있다”고 덧붙였다. 보안업계 특성상 익명을 요구한 그와 어떤 것들이 해킹됐는지, 랩서스가 왜, 어떻게 삼성의 기밀을 탈취할 수 있었던 것인지, 어떤 파장이 있을지 등에 대해 들어봤다.
ㅡ어떤 것들이 있나.
“랩서스가 공개한 파일은 파트1부터 3까지 총 3개다. 이와 함께 각 파트에 어떤 내용이 담겼는지를 소개하는 ‘리드미(Readme)’라는 텍스트 파일이 있다. 내용이 너무 방대하기 때문에 일부만 본 상태다. 리드미에서 랩서스는 삼성의 보안 실행 환경에 설치된 모든 소스코드, 생체인식 잠금 해제 시스템에 대한 알고리즘, 보안 플랫폼 ‘녹스’를 포함한 시스템 부트로더(부팅 시 처음에 사용되는 코드) 소스코드, 퀄퀌 등 삼성 주요 파트너사의 기밀 사항 등이 담겼다고 주장하고 있는데 파트1에서 해당 소스코드를 확인했다.
삼성전자 미국법인이 해킹당한 것인지, 한국이 당한 것인지 아직 불분명하지만, 최근 출시된 ‘갤럭시S22′부터 이전 스마트폰까지 부트로더 소스코드가 싹 공개돼 있다. 본사 무선사업부(현 MX사업부) 직원들의 발표·실험자료도 포함돼 있다. 이를테면 한 오디오 관련 부서 직원이 발표한 경쟁사 무선이어폰 샘플 조사 같은 제목의 엑셀파일도 있다. 이 파일을 보면 어떻게 경쟁사 성능 개선을 평가·측정했는지, 어떤 결론을 냈는지까지 확인할 수 있다. 유출 파일 작성 시기도 2019년부터 아주 최근까지 시기도 광범위하다.”
ㅡ어떤 파장이 있을까.
“소스코드는 일종의 ‘프로그램 설계도’다. 개인정보가 유출된 것이 아니기 때문에 일반 사용자에겐 큰 의미가 없을 수 있다. 회사 입장은 다르다. 유출된 코드는 통상 공개되는 소스코드가 아니다. 경쟁업체로선 해당 기능을 따라 만들거나 금방 기술을 따라잡을 수 있게 된다. 설계도를 손에 쥔 만큼 분석도 쉬워진다. 보안 취약점을 찾는 보안연구원 입장에서 보면, 해당 소스코드를 통해 더 쉽게 취약점을 찾아 삼성 측에 제보할 수 있다. 이는 반대로 공격자(해커) 입장에서도 취약점을 쉽게 찾아 공격할 수 있는 빌미가 될 수 있다.”
ㅡ어떻게 이런 기밀이 유출될 수 있나.
“수정되지 않은 고위험 취약점을 ‘제로데이’라고 한다. 우리가 보통 안전하다고 생각하는 구글에서 만든 크롬에서도 제로데이 취약점이 있고, 애플 아이폰에도 제로데이가 있을 수 있다. 전문가들이 새로 찾은 제로데이는 가치가 아주 높다. 1개에 10억~50억원쯤에 암시장에서 거래된다. 이를 공격하면 회사가 막는 건 거의 불가능하다. 랩서스가 이런 제로데이를 가지고 삼성전자 직원을 우선 타깃으로 한 것 같다. 직원을 공격해 삼성 내부에 접근하고 그 안에서 계속 정보를 수집한 것이다. 동시에 내부에 있는 다른 직원, 서버를 공격하는 식으로 점점 더 깊숙이 들어가 이런 자료를 탈취한 것으로 추정된다. 삼성만 당한 게 아니다. 랩서스는 지난 달 엔비디아로부터 대용량 데이터를 탈취하고, 회사가 이를 공식 인정해 유명세를 타기도 했다.”
ㅡ이런 범죄를 저지르는 것은 돈이 목적이라고 보면 되나.
“직접 본 것은 아니지만, 6일 오전 텔레그램을 통해 랩서스가 삼성 측에 연락을 시도한 정황이 있었던 것으로 보인다. “다른 유출을 막으려면 연락달라”라는 메시지를 올렸다가 삭제했다는 것이다. 통상 금전적 요구를 위해 해킹을 벌이는 일이 가장 자주 있지만, 돈을 달라고 한 기간이 너무 짧은 점은 의심스럽다. 랩서스가 돈을 원하는 것처럼 보이면서 진짜 의도를 숨기고 있는 것처럼 보이기도 한다. 삼성 또는 삼성전자의 상징적 의미가 큰 한국에 혼란을 주거나 세력을 과시하려는 의도일 수도 있다. 엔비디아, 삼성전자에 이어 7일 현재 랩서스는 텔레그램을 통해 다음 타깃을 어디로 할지 투표를 진행 중이다.”
ㅡ삼성은 어떻게 대처해야 되나.
“회사 입장에선 데이터양이 워낙 많기 때문에 이를 다운받아 식별하는 데도 상당 시간이 소요될 것이다. 어차피 공개된 소스코드는 회수하거나 못 보게 할 방법이 없다. 디자인을 바꿔서 다시 개발하거나, 빨리 업데이트 해서 기존 코드랑 달라지게 만드는 것이 시급해 보인다. 당분간은 공격 타깃이 될 여지가 있기 때문이다. 어차피 소스코드가 공개된 만큼 가능한 부분에 대해서는 오픈소스화하는 것도 방법이다. 리눅스나 구글 안드로이드도 오픈소스다. 집단지성으로 코드의 문제점을 지적, 수정해나갈 수 있기 때문에 더 안전해지는 경우가 많다.
몇 달간은 보안 연구원이 취약점을 찾고, 삼성에 제보할 것이다. 중장기적으론 이를 통해 삼성이 더 안전해질 수도 있다. 물론 이를 찾고도 보고하지 않는 세력이 있을 수 있다. 그 점은 리스크다. 지난해 PC 온라인 축구게임 ‘피파온라인’ 개발사인 일렉트로닉아츠(EA)도 게임·엔진과 관련한 780GB 상당의 소스코드가 대량 유출되고 회사가 망하기라도 할 것 같이 난리였다. 하지만 현재 아무 문제 없이 지내고 있다.”