지난 3월 5일, Lapsus$ 갱단은 삼성전자를 해킹하여 막대한 양의 민감한 데이터를 훔쳤다고 주장하며, 그 증거로 190GB에 달하는 삼성전자의 데이터와 소스 코드를 유출하였습니다. 

갱단은 텔레그램 채널을 통해 샘플 데이터에 대한 이미지를 공유하고, 다운로드를 위한 토렌트 파일을 공유하였습니다.

[그림 1] 텔레그램 채널을 통한 샘플 데이터 이미지 공개

[그림 2] 유출 데이터를 토렌트로 공유

유출된 데이터에는 아래와 같은 삼성전자의 기밀 소스코드가 포함되어 있습니다.

- 센서와 직접 통신하는 소스 코드를 포함한 모든 생체 인식 잠금 해제 작업에 대한 알고리즘

- Knox 데이터 및 인증용 코드를 포함한 모든 최신 Samsung 장치에 대한 부트로더 소스 코드

- 민감한 작업(하드웨어 암호화, 바이너리 암호화, 액세스 제어 등)에 사용되는 Samsung의 TrustZone 환경에 설치된 모든 TA(Trusted Applet)의 소스 코드

- API 및 서비스를 포함하여 삼성 계정을 인증하고 인증하는 데 사용되는 기술의 전체 소스 코드

- Qualcomm의 기밀 소스 코드

Lapsus$ 갱단은 유출된 데이터를 거의 190GB에 달하는 3개의 압축 파일로 분할하여 토렌트로 공유하였으며, 다운로드 속도를 높이기 위해 더 많은 서버를 배치할 것이라고 말했습니다.

[그림 3] 190GB에 달하는 데이터를 3개의 압축 파일로 분할하여 유포 

(출처 : www.bleepingcomputer.com)

토렌트에는 3개의 압축파일에 대한 간략한 설명도 포함되어 있습니다.

- part 1 : Security/Defense/Knox/Bootloader/TrustedApps 및 기타 다양한 항목에 대한 소스 코드 및 관련 데이터 덤프가 포함되어 있습니다.

- part 2 : 장치 보안 및 암호화에 대한 소스 코드 및 관련 데이터 덤프가 포함되어 있습니다.

- Part 3 : 모바일 방어 엔지니어링, 삼성 계정 백엔드, 삼성 패스 백엔드/프론트엔드, SES(Bixby, Smartthings, 스토어) 등 Samsung Github의 다양한 리포지토리가 포함되어 있습니다.

Lapsus$ 갱단은 지난 3월 1일에도 NVIDIA의 서버에서 그래픽처리장치(GPU) 회로도를 비롯한 주요 데이터를 탈취했다고 주장하며 협상을 요구한 이력이 있습니다. 이에 대해 NVIDIA 측은 데이터 탈취 주장을 인정하였으며, 협상은 결렬되어 주요 데이터가 유출된 바 있습니다. 따라서, 일각에서는 삼성전자도 협상이 실패하여 주요 데이터를 유출한 것일 수 있다는 의견도 제기되고 있습니다.

삼성전자 측은 이에 대해 ‘현재 상황 파악 중’이라고 밝혔으며, 돈을 요구한 협박이 있었는지에 대해서는 아직 알려지지 않은 상황입니다.

한편, Lapsus$ 갱단은 텔레그램 채널을 통해 3월 13일까지 추가 데이터 유출에 대한 투표를 진행하고 있습니다. 대상 기업은 Vodafone, Impresa, Mercado Libre, Mercado Pago이며, 해당 시점 이후 추가 데이터 유출의 가능성을 염두해 두어야 할 것으로 보입니다.

[그림 4] 텔레그램을 통해 추가 데이터 유출에 대한 투표 진행

(출처 : 

https://www.bleepingcomputer.com/news/security/hackers-leak-190gb-of-alleged-samsung-data-source-code/

https://securityaffairs.co/wordpress/128712/cyber-crime/samsung-electronics-lapsus-ransomware.html?utm_source=rss&utm_medium=rss&utm_campaign=samsung-electronics-lapsus-ransomware

)

보안관제센터 MIR Team