미상의 해커 셰도브로커스는 최근 미국 국가안보국(NSA)을 해킹, 사이버무기를 탈취하고 정보를 빼돌린 그룹이다.

셰도브로커스는 2013년 NSA의 비밀정보가 들어 있는 디스크를 해킹했다. 그들은 지난해 여름부터 인터넷에 NSA 정보를 올리며 사이버 심리전을 시작했다. NSA를 당혹스럽게 하면서 정보 수집 능력에 흠집을 가한다. 셰도브로커스는 시스코 라우터, 마이크로소프트(MS) 윈도, 리눅스 메일 서버의 주요 취약점을 노출시켜서 해당 회사와 고객을 혼란에 빠뜨렸다. 그들이 공개한 MS 서버메시지블록(SMB)의 취약점은 워너크라이 랜섬웨어 유포에 이용됐다.

워너크라이 사건 이후 셰도브로커스는 매달 NSA의 비밀을 인터넷에 공개한다고 밝혔다. 사이버 범죄자나 각국 정부에 각종 정보와 함께 취약점, 해킹 도구를 판매한다고 선언했다. 이란과 북한의 핵무기 및 미사일 프로그램 정보까지 판매한다고 밝혔다.

미국 정부는 엄청난 정보를 유출당하고도 공격자가 누구인지 함구하고 있다. 외신은 에드워드 스노든 등 내부 고발자와는 다른 형태라고 분석했다. 만약 내부자 소행이라면 NSA가 이미 체포했을 가능성이 있다.

과연 셰도브로커스는 어떤 조직일까. 그 누구도 셰도브로커스의 정체를 알지 못한다. 국내 한 사이버전 전문가는 “셰도브로커스의 행동은 2014년 한국수력원자력의 원전 도면 유출 사건과 연계된 '후엠아이'와 유사하다”고 설명했다. 후엠아이는 각종 원전 도면을 비롯해 한국 정부에서 유출한 문서를 올리며 금전을 요구했다. 6개월여에 걸쳐 10여 차례 넘게 사이버 심리전을 지속했다.

2014년 미국 소니픽처스를 해킹했다고 주장한 평화의수호자(GOP) 그룹 역시 인터넷에 기업 기밀을 유출하며 심리전을 펼쳤다. 워너크라이 공격자라고 밝힌 스팸테크도 트위터에 글을 올리며 활동한다.

이 전문가는 “워너크라이 개발자라고 밝힌 스팸테크와 셰도브로커스는 트위터에 글을 올린 시간이 거의 비슷하고, 팔로하는 계정도 동일하다”면서 “스팸테크와 셰도브로커스는 연결된 조직으로 분석된다”고 말했다.

그는 “셰도브로커스는 NSA에서 빼돌린 정보를 은밀한 공격에 쓰지 않고 오히려 공개하는 등 압박 카드로 쓴다”면서 “그들이 판매한다는 북한·이란·러시아의 핵 정보 등은 NSA가 수집한 내용이며, 공격자 식별에 혼선을 주려는 심리전”이라고 분석했다.

글로벌 보안 기업이 워너크라이 배후로 라자로스를 지목하면서 셰도브로커스가 이들과 연계된 조직일 가능성이 더 있어 보인다.

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com