바로 어제 러시아의 호스팅 업체에 솔라릭스라는 사이트가 등록 및 개설됐다. 그리고 운영자는 이 사이트를 통해 솔라윈즈 사태로 유출된 데이터를 보유하고 있다고 주장하며 이를 돈 받고 팔겠다고 광고하기 시작했다. 사기 가능성이 제기됐다.

[보안뉴스 문가용 기자] 인터넷에 솔라릭스(SolarLeaks)라는 사이트가 개설됐다. 이번 솔라윈즈 사태 때 유출된 정보들을 판매한다고, 사이트 개설자는 주장하고 있다. 사이트에 접속해 보면 새해 인삿말과 함께 토르 브라우저로 접속 가능한 미러 사이트가 소개되어 있으며, 판매 중인 아이템들과 가격이 나열되어 있다.


▲ 솔라릭스 웹사이트 [이미지 = 보안뉴스]

그 중 제일 위에 올라와 있는 아이템은 마이크로소프트 윈도의 일부 소스코드와 다양한 MS 리포지터리로, 현재 60만 달러라는 가격표가 붙어 있는 상태다. MS가 지난 주 “솔라윈즈 공격자들이 소스코드 일부에 접근한 후 열람했다”고 발표했던 것이 생각나는 대목이다. 또한 시스코, 솔라윈즈, 파이어아이의 여러 제품의 소스코드도 같이 판매되고 있는데, 이들 역시 솔라윈즈 사태의 피해 기업들이다.

그 외에도 판매자들은 100만 달러에 자신들이 확보한 모든 정보를 넘길 수 있다고도 광고하고 있다. 현재 데이터는 강력한 키로 암호화 된 상태라고 하며, 진지하게 구매를 고려하고 있는 사람들만 연락하라며 이메일 주소를 남기기도 했다. 이 이메일은 프로톤메일(Protonmail) 도메인을 가지고 있다.

구매자들의 의사 결정을 돕기 위해서인지 작은 Q&A 항목도 마련되어 있다. 이를 통해 판매자들은 고객들이 원한다면 증거를 보여줄 수도 있다고 하며, 뒤에도 더 공개할 것들이 있다고 밝혔다. 만약 MS와 시스코 등 이번 사태에 피해를 입은 기업들 편에서 이 정보들을 무사히 돌려받고 싶다면 따로 연락하라는 언급도 있었다.

시스코는 오늘 보안 권고문을 발표하며 “솔라릭스의 운영자들이 실제로 시스코의 소스코드를 보유하고 있다는 증거가 없다”며 “앞으로 추가적인 정보가 나올 경우 고객들에게 투명하게 알리겠다”고 입장을 정리했다. 소프트웨어 소스코드가 정말로 해커들의 손에 있을 경우, 시스코의 지적재산만 침해된 것이 아니라, 해당 소프트웨어를 사용하는 고객들도 위험해질 수 있다.

운영자들의 정체에 대해서는 아직 정확히 알 수 없지만 판매 방식에서 셰도우 브로커스(Shadow Brokers)라는 해킹 단체들이 떠오른다고 외신인 블리핑컴퓨터(Bleeping Computer)는 보도했다. 셰도우 브로커스는 2016년 처음 등장해 NSA의 해킹 도구들과 내부 정보를 세상에 공개한 단체다.

보안 전문가 리키 게버스(Ricky Gevers)는 트위터를 통해 현재 솔라릭스 사이트는 러시아의 해킹 그룹인 팬시베어(Fancy Bear)와 코지베어(Cozy Bear)가 애용하는 도메인 등록소인 NJALLA에 호스팅되어 있다고 알렸다. 이 도메인은 만들어진 지 하루밖에 지나지 않았다.

보안 업체 렌디션 인포섹(Rendition Infosec)의 제이크 윌리엄즈(Jake Williams)는 트위터를 통해 “일반적인 사이버 범죄자였다면 재무부나 국방부에서 훔친 첩보들도 같이 판매하겠다고 나서지 않았겠느냐”며 “상업적 특성을 가진 자산들만 따로 떼어내 판매하고 있는 이들의 행태가, 이들의 실존 가능성을 높여주고 있다”고 주장했다.

즉 이들이 제대로 된 사이버 범죄 전문 단체일 가능성이 높다는 것이다. 단순 사기꾼이었다면 재무부와 국방부 등 미국 정부 기관의 정보도 광고함으로써 더 많은 수익을 노렸을 거라는 뜻이다. 윌리엄즈는 “아직 구매한 사람이 없는 것으로 보이며, 공격자가 가격을 낮출 공산이 크다”는 의견도 같이 공개했다.

3줄 요약
1. 솔라윈즈 사태로 유출된 정보를 판매하는 사이트 개설됨.
2. MS, 시스코, 파이어아이의 정보 및 소스코드가 판매 중에 있음.
3. 사기꾼일 가능성도 점쳐지는 가운데, 판매 행위가 오히려 신빙성 높여줌.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>