사이버 범죄조직 LAPSUS$(랩서스) 소속 두 명의 영국 청소년이 주요 기업을 타깃으로 한 사이버공격으로 실형을 선고받았다.

한 명은 옥스퍼드 출신의 18세 청년으로 가능한 한 빠른 시일 내에 사이버 범죄에 복귀하겠다는 의사를 밝혀 무기한 입원 명령을 선고받았다. 자폐증 진단을 받았음에도 불구하고 사이버 범죄에 가담한 것이다.

또 다른 멤버 17세 미성년자는 3개월간의 집중 감독 및 감시 요건을 포함하여 18개월의 청소년 재활 명령을 받았다.

2020년 8월부터 2022년 9월에 걸쳐 이들은 BT, EE, 글로반트, LG, 마이크로소프트, 엔비디아, 오타, 레볼루트, 락스타 게임즈, 삼성, 유비소프트, 우버, 보다폰 등 다양한 유명 기업을 표적으로 사이버공격을 진행했다.

영국과 브라질 출신의 조직원들로 구성된 LAPSUS$는 SIM 스와핑 공격을 통해 피해자의 계정을 탈취하고 표적 네트워크에 침투하는 것으로 알려졌다. 이 그룹은 또한 텔레그램 채널을 활용해 자신들의 활동을 홍보하고 피해자들을 공격했다.

미 연방수사국(FBI)에 따르면, LAPSUS$ 그룹은 "The Comm"이라는 더 큰 조직에 속해 있는 것으로 밝혀졌다. The Comm은 지리적으로 다양한 개인들로 구성된 하위 그룹으로 구성되어 있으며, 디스코드 및 텔레그램과 같은 온라인 커뮤니케이션 플랫폼을 통해 협력한다. 이들의 활동 범위는 기업 침투, SIM 스와핑, 암호화폐 탈취, 실제 폭력, 구타 등 다양하다.

사이버 위협 환경이 계속 진화함에 따라 LAPSUS$와 같은 사례는 사이버 범죄에 대응하기 위한 국제적인 협력이 강화되어야 하고, 또 어린 해커들의 기술 탐구, 취약성 테스트를 하고 싶은 욕구와 더불어 범죄에 빠질 수 있는 심리가 교차하는 상황에서 디지털 영역에서 호기심을 긍정적으로 유도하기 위한 교육이 중요하다고 보안전문가들은 말한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★