더 섀도 브로커스
1. 개요
더 섀도 브로커스(The Shadow Brokers)는 2016년 미국 국가안보국(NSA)에서 유출된 것으로 추정되는 해킹 도구와 정보를 공개한 해킹 그룹이다. 이들은 윈도우 운영체제 취약점을 이용한 악성코드, 하드 디스크 펌웨어 감염 기술 등을 공개했으며, 2017년 워너크라이 랜섬웨어 공격에 사용된 이터널블루(EternalBlue) 익스플로잇 또한 섀도 브로커스에 의해 유출되었다. 섀도 브로커스의 배후와 유출 동기를 두고 러시아, NSA 내부자, 일본 등 다양한 추측이 제기되었으나, 아직까지 정확한 배후는 밝혀지지 않았다.
이미지 준비중입니다.
| 활동 기간 | 2016년 여름 – 2017년 초 (추정) |
|---|---|
| 활동 지역 | 전 세계 |
| 동기 | 불명 |
| 목표 | 사이버 무기 공개 및 판매 지정학적 영향 |
| 활동 | 에쿼션 그룹의 사이버 무기 유출 SWIFT 해킹 도구 유출 윈도우 취약점 공개 |
| 연관 단체 의혹 | 에쿼션 그룹 (도난 도구) 국가안전보장국 (NSA) (도난 도구의 출처 의혹) |
|---|
| 2016년 8월 | 에쿼션 그룹 해킹 도구 유출 및 경매 시도 |
|---|---|
| 2016년 10월 | 해킹 도구 무료 공개 |
| 2017년 1월 | SWIFT 해킹 도구 공개 |
| 2017년 4월 | "윈도우" 운영체제 취약점 공개 |
| 워너크라이 (WannaCry) | 섀도 브로커스가 유출한 EternalBlue 취약점을 이용한 공격 |
|---|---|
| NotPetya | 섀도 브로커스가 유출한 EternalBlue 취약점을 이용한 공격 |
| 배후 세력 추정 | 러시아 정부 내부 고발자 |
|---|---|
| 동기 추정 | 국가안전보장국 (NSA)에 대한 반감 지정학적 영향력 행사 |
| 명칭 | 영어: The Shadow Brokers (더 섀도 브로커스) 일본어: シャドー・ブローカーズ (샤도 부로카즈) |
|---|
-
해커 그룹 -
라자루스 그룹
라자루스 그룹은 북한과 연관된 사이버 범죄 조직으로 추정되며, 한국과 미국을 포함한 전 세계를 대상으로 사이버 공격, 해킹, 랜섬웨어 공격 등 다양한 범죄 활동을 통해 외화 획득을 시도하고 국제 금융 제재를 회피하려는 것으로 분석된다. -
해커 그룹 -
어나니머스 (그룹)
어나니머스는 특정 집단을 지칭하지 않는 온라인 해커 및 행동주의자 연합체로, 인터넷 검열 반대와 사회 정의 실현 등의 이슈에 관여하며 해킹, 디도스 공격, 정보 공개 등의 활동을 펼치는 단체이다. -
2016년 설립된 단체 -
정의기억재단
-
2016년 설립된 단체 -
한베평화재단
한베평화재단은 베트남 전쟁 당시 한국군에 의한 민간인 학살 문제 해결과 피해자 지원을 목적으로 설립된 대한민국의 시민단체로, 평화기행, 추모사업, 진실규명, 피해자 지원 등의 활동을 통해 과거사 문제 해결과 한-베트남 관계 발전에 기여하고 있다. -
사이버 전쟁 -
정보전
정보전은 정보 우위를 확보하기 위해 평시와 전시를 가리지 않고 수행하는 활동으로, 상대방의 정보 체계를 교란하거나 아군의 정보 체계를 보호하는 것을 목표로 하며, 정보통신기술 발달과 함께 그 중요성이 커지고 국가 안보의 핵심 과제로 대두되고 있다. -
사이버 전쟁 -
봇넷
2. 명칭
2013년, 미국 국가안보국(NSA)의 지원을 받는 이퀘이션 그룹은 여러 종류의 사이버 무기를 개발했다. 이들은 윈도우 운영체제를 사용하는 컴퓨터를 감염시키는 악성코드를 제작했으며, 그중에는 윈도우의 부팅 과정을 조작하여 악성코드를 숨기는 기술도 포함되어 있었다. 이 그룹은 또한 하드 디스크의 펌웨어를 감염시키는 기술을 개발하여, 감염된 컴퓨터에서 데이터를 탈취하거나, 컴퓨터를 파괴할 수 있는 능력을 갖추게 되었다. 이러한 기술은 매우 정교하고 은밀하게 작동하도록 설계되었으며, 표적 시스템의 특성을 면밀히 분석하여 맞춤형 공격을 수행하는 방식으로 운용되었다.
2016년 8월 13일, '섀도 브로커스'(The Shadow Brokers)라는 해킹 그룹이 NSA에서 훔친 것으로 추정되는 정보를 판매하겠다고 처음 발표했다. 섀도 브로커스는 NSA가 이퀘이션 그룹의 취약점을 알고도 방치했다는 사실을 비난하며, NSA에 데이터를 다시 구매하라고 요구했다.
2017년 3월 14일, 마이크로소프트는 윈도우의 SMB(Server Message Block) 취약점을 수정하는 보안 패치 "MS17-010"을 배포했다. 4월 14일, 섀도 브로커스는 도널드 트럼프 대통령에 대한 항의의 표시로 해킹 정보를 공개했다.
5월 12일, 북한의 해킹 조직인 라자루스 그룹은 섀도 브로커스가 공개한 해킹 기술을 이용하여 워너크라이(WannaCry) 랜섬웨어를 개발, 전 세계를 대상으로 공격을 감행했다. 워너크라이는 감염된 컴퓨터의 파일을 암호화하고, 이를 복구하는 대가로 금전을 요구하는 방식으로 피해를 확산시켰다. 랜섬웨어 공격으로 인해 영국 국립보건서비스(NHS)를 포함한 전 세계 150개국 이상에서 20만 대 이상의 컴퓨터가 피해를 입었다. 영국의 보안 전문가 마커스 허친스는 워너크라이의 확산을 막는 "킬 스위치"를 발견하여 피해를 일시적으로 멈추게 했다. 마이크로소프트 CEO 브래드 스미스는 NSA가 사이버 무기 개발을 위해 취약점 정보를 비축하는 행태를 비판하며, 이러한 정보가 유출될 경우 심각한 사이버 공격으로 이어질 수 있다고 경고했다. 미국 정부는 취약점 정보를 관리하는 절차를 가지고 있지만, 정보 공유 및 관리 과정에서 허점이 드러나면서 비판을 받았다. 섀도 브로커스는 은행 네트워크 정보 및 핵 미사일 개발 관련 기밀 정보를 추가로 공개하겠다고 예고했다. 5월 16일, 워너크라이 랜섬웨어 피해가 전 세계적으로 확산되면서, NSA와 섀도 브로커스에 대한 비판 여론이 거세졌다. 5월 19일, 카스퍼스키는 워너크라이 공격으로 인한 몸값 지불액이 예상보다 저조했다고 분석했다. 5월 30일, 섀도 브로커스는 해킹 기술 판매 계획을 발표했다.
6월 27일, 러시아의 해킹 조직 샌드웜(Sandworm)은 이터널블루(EternalBlue)를 악용한 낫페트야(NotPetya) 멀웨어를 제작하여 우크라이나를 사이버 공격했다. 낫페트야는 이후 전 세계적으로 확산되어 막대한 피해를 입혔다.
2018년 4월, 이터널블루는 사탄(Satan) 랜섬웨어 확산에 기여한 바 있다. 이 사건은 보안 취약점을 악용한 사이버 공격의 위험성을 다시 한번 상기시키는 계기가 되었다.
3. 역사
2016년 8월 13일, '섀도 브로커스'(The Shadow Brokers)라는 해킹 그룹은 미국 국가안보국(NSA)에서 훔친 것으로 추정되는 정보를 판매하겠다고 처음 발표했다. 섀도 브로커스는 NSA가 이퀘이션 그룹(Equation Group)의 취약점을 알고도 방치했다는 사실을 비난하며, NSA에 데이터를 다시 구매하라고 요구했다.
2017년 3월 14일, 마이크로소프트는 윈도우의 SMB(Server Message Block) 취약점을 수정하는 보안 패치 "MS17-010"을 배포했다. 4월 14일, 섀도 브로커스는 도널드 트럼프 대통령에 대한 항의의 표시로 해킹 정보를 공개했다. 5월 12일, 북한의 해킹 조직인 라자루스 그룹은 섀도 브로커스가 공개한 해킹 기술을 이용하여 워너크라이(WannaCry) 랜섬웨어를 개발, 전 세계를 대상으로 공격을 감행했다. 워너크라이는 감염된 컴퓨터의 파일을 암호화하고, 이를 복구하는 대가로 금전을 요구하는 방식으로 피해를 확산시켰다. 랜섬웨어 공격으로 인해 영국 국립보건서비스(NHS)를 포함한 전 세계 150개국 이상에서 20만 대 이상의 컴퓨터가 피해를 입었다. 영국의 보안 전문가 마커스 허친스는 워너크라이의 확산을 막는 "킬 스위치"를 발견하여 피해를 일시적으로 멈추게 했다. 마이크로소프트 CEO 브래드 스미스는 NSA(National Security Agency)가 사이버 무기 개발을 위해 취약점 정보를 비축하는 행태를 비판하며, 이러한 정보가 유출될 경우 심각한 사이버 공격으로 이어질 수 있다고 경고했다. 섀도 브로커스는 은행 네트워크 정보 및 핵 미사일 개발 관련 기밀 정보를 추가로 공개하겠다고 예고했다. 5월 16일, 워너크라이 랜섬웨어 피해가 전 세계적으로 확산되면서, NSA와 섀도 브로커스에 대한 비판 여론이 거세졌다. 5월 19일, 카스퍼스키는 워너크라이 공격으로 인한 몸값 지불액이 예상보다 저조했다고 분석했다. 5월 30일, 섀도 브로커스는 해킹 기술 판매 계획을 발표했다. 6월 27일, 러시아의 해킹 조직 샌드웜(Sandworm)은 이터널블루(EternalBlue)를 악용한 낫페트야(NotPetya) 멀웨어를 제작하여 우크라이나를 사이버 공격했다. 낫페트야는 이후 전 세계적으로 확산되어 막대한 피해를 입혔다.
2018년 4월, 이터널블루(EternalBlue)는 사탄(Satan) 랜섬웨어 확산에 기여한 바 있다.
3.1. 2013년
2013년, 미국 국가안보국(NSA)의 지원을 받는 이퀘이션 그룹은 여러 종류의 사이버 무기를 개발했다. 이들은 윈도우 운영체제를 사용하는 컴퓨터를 감염시키는 악성코드를 제작했으며, 그중에는 윈도우의 부팅 과정을 조작하여 악성코드를 숨기는 기술도 포함되어 있었다. 이 그룹은 또한 하드 디스크의 펌웨어를 감염시키는 기술을 개발하여, 감염된 컴퓨터에서 데이터를 탈취하거나, 컴퓨터를 파괴할 수 있는 능력을 갖추게 되었다. 이러한 기술은 매우 정교하고 은밀하게 작동하도록 설계되었으며, 표적 시스템의 특성을 면밀히 분석하여 맞춤형 공격을 수행하는 방식으로 운용되었다. 이퀘이션 그룹의 사이버 무기는 특정 국가나 단체를 대상으로 사용되었을 가능성이 있으며, 이는 사이버 공간에서의 정보전과 국가 안보에 심각한 위협이 될 수 있다.
3.2. 2016년
8월 13일, '섀도 브로커스'(The Shadow Brokers)라는 해킹 그룹이 미국 국가안보국(NSA)에서 훔친 것으로 추정되는 정보를 판매하겠다고 처음 발표했다.The New York Times - [https://www.nytimes.com/2017/04/08/us/politics/nsa-hacking-tools-shadow-brokers.html "The Shadow Brokers, a Mysterious Group, Shakes the Cyberworld" - The New York Times] 섀도 브로커스는 NSA가 이퀘이션 그룹(Equation Group)의 취약점을 알고도 방치했다는 사실을 비난하며, NSA에 데이터를 다시 구매하라고 요구했다.
3.3. 2017년
2017년 3월 14일, 마이크로소프트는 윈도우의 SMB(Server Message Block) 취약점을 수정하는 보안 패치 "MS17-010"을 배포했다.The Shadow Brokers and WannaCry: A Timeline - ZDNet 일각에서는 마이크로소프트가 익스플로잇 정보를 사전에 입수했을 가능성을 제기하기도 했다.
4월 14일, 섀도 브로커스는 도널드 트럼프 대통령에 대한 항의의 표시로 해킹 정보를 공개했다.The Shadow Brokers and WannaCry: A Timeline - ZDNet
5월 12일, 북한의 해킹 조직인 라자루스 그룹이 섀도 브로커스가 공개한 해킹 기술을 이용하여 워너크라이(WannaCry) 랜섬웨어를 개발, 전 세계를 대상으로 공격을 감행했다. 워너크라이는 감염된 컴퓨터의 파일을 암호화하고, 이를 복구하는 대가로 금전을 요구하는 방식으로 피해를 확산시켰다. 랜섬웨어 공격으로 인해 영국 국립보건서비스(NHS)를 포함한 전 세계 150개국 이상에서 20만 대 이상의 컴퓨터가 피해를 입었다.WannaCry ransomware: global impact and lessons learned - Kaspersky
영국의 보안 전문가 마커스 허친스는 워너크라이의 확산을 막는 "킬 스위치"를 발견하여 피해를 일시적으로 멈추게 했다.
마이크로소프트 CEO 브래드 스미스는 NSA(National Security Agency)가 사이버 무기 개발을 위해 취약점 정보를 비축하는 행태를 비판하며, 이러한 정보가 유출될 경우 심각한 사이버 공격으로 이어질 수 있다고 경고했다. 미국 정부는 취약점 정보를 관리하는 절차를 가지고 있지만, 정보 공유 및 관리 과정에서 허점이 드러나면서 비판을 받았다.
섀도 브로커스는 은행 네트워크 정보 및 핵 미사일 개발 관련 기밀 정보를 추가로 공개하겠다고 예고했다.
5월 16일, 워너크라이 랜섬웨어 피해가 전 세계적으로 확산되면서, NSA와 섀도 브로커스에 대한 비판 여론이 거세졌다.
5월 19일, 카스퍼스키는 워너크라이 공격으로 인한 몸값 지불액이 예상보다 저조했다고 분석했다.
5월 30일, 섀도 브로커스는 해킹 기술 판매 계획을 발표했다.
6월 27일, 러시아의 해킹 조직 샌드웜(Sandworm)은 이터널블루(EternalBlue)를 악용한 낫페트야(NotPetya) 멀웨어를 제작하여 우크라이나를 사이버 공격했다. 낫페트야는 이후 전 세계적으로 확산되어 막대한 피해를 입혔다.
3.4. 2018년
2018년 4월, 이터널블루(EternalBlue)는 사탄(Satan) 랜섬웨어 확산에 기여한 바 있다. 이 사건은 보안 취약점을 악용한 사이버 공격의 위험성을 다시 한번 상기시키는 계기가 되었다.
4. 유출 정보
2013년 8월 28일, 섀도 브로커스는 이퀘이션 그룹이 해킹한 서버 목록, 비공개 도구 정보, 관련 문서를 담은 "Message #5 - TrickOrTreat"라는 이름의 유출을 시작했다.https://wikileaks.org/ciav7/documents/index.html CIA Vault 7: TrickOrTreat. 위키리크스. 이 유출은 이퀘이션 그룹의 활동과 관련된 중요한 정보를 포함하고 있어 사이버 보안 전문가들 사이에서 주목을 받았다. 유출된 문서들은 이퀘이션 그룹이 전 세계적으로 광범위한 해킹 활동을 벌였음을 시사하며, 특히 정부 기관, 금융 기관, 통신 회사 등을 대상으로 한 공격이 포함되어 있었다. 유출된 정보에는 해킹에 사용된 도구, 감염된 서버의 IP 주소, 해킹 대상에 대한 정보 등이 포함되었다.
2017년 4월 8일, 섀도 브로커스는 미디엄 계정을 통해 "Don't Forget Your Base"라는 제목의 유출 사건을 공개했다. 이 유출은 암호화된 파일의 비밀번호와 함께 이루어졌으며, 리눅스/유닉스 기반 시스템을 대상으로 하는 해킹 도구들을 포함하고 있었다. 이 도구들은 네트워크 장비, 서버, 데스크톱 시스템 등 다양한 환경에서 사용될 수 있도록 설계되었다.
2017년 4월 14일, 섀도 브로커스는 "LostinTranslation"으로 명명된 다섯 번째 유출을 게시했다. 이 유출은 트위터 계정을 통해 스팀 블록체인 링크를 게시하는 방식으로 이루어졌다. 유출된 내용은 "oddjob", "swift", "windows" 폴더로 구성되었으며, 섀도 브로커스는 이 유출을 "가장 유해한 릴리스"라고 언급했다.
유출된 도구와 익스플로잇은 다음과 같다:
* DANDERSPIRITZ
* ODDJOB
* FUZZBUNCH
* DARKPULSAR
* ETERNALSYNERGY
* ETERNALROMANCE
* ETERNALBLUE
* EXPLODINGCAN
* EWOKFRENZY
이 유출의 데이터 메타데이터에는 NSA 직원과 관련된 정보가 포함되어 있었다.
이터널블루(EternalBlue)는 윈도우 SMBv1 서버의 원격 코드 실행 취약점(MS17-010)을 악용한 익스플로잇으로, 해커들이 대상 시스템에 악성 코드를 실행할 수 있게 해준다.EternalBlue - Wikipedia 이 취약점은 2017년 워너크라이 랜섬웨어 공격에 사용되어 전 세계적으로 큰 피해를 입혔다. WannaCry ransomware attack - Wikipedia
이터널블루는 미국 국가안보국(NSA)이 개발한 것으로 알려져 있으며, 섀도 브로커스에 의해 유출되었다. The Shadow Brokers - Wikipedia 섀도 브로커스는 이 익스플로잇을 포함한 여러 해킹 도구를 공개하여 사이버 보안에 큰 위협을 초래했다.
MS17-010 취약점을 악용하는 이터널블루는 윈도우 운영체제의 SMBv1 프로토콜의 특정 버그를 이용한다. SMBv1은 파일 공유 및 프린터 공유를 위해 사용되는 프로토콜로, 보안 취약점이 발견된 이후 마이크로소프트는 패치를 배포했다. Microsoft Security Bulletin MS17-010 - Microsoft Support 패치를 적용하지 않은 시스템은 이터널블루 공격에 취약하며, 워너크라이와 같은 랜섬웨어 공격의 대상이 될 수 있다. 2017년 워너크라이 사태 이후, 기업 및 개인 사용자들은 운영체제 업데이트의 중요성을 인식하고, 보안 패치를 즉시 적용하는 것이 권고되고 있다.
2023년 11월, "Message #6 - BLACK FRIDAY / CYBER MONDAY SALE"이라는 제목의 세 번째 유출이 발생했으며, 이 유출은 툴 해설서, 파일 구조 스크린샷을 포함하고 있다.
4.1. 최초 유출
2016년 8월 13일, "Equation Group Cyber Weapons Auction - Invitation"이라는 제목의 문서가 유출되었다. 이 문서는 해킹 그룹인 이큐에이션 그룹이 사이버 무기를 경매에 부치려는 내용을 담고 있었다. 유출된 정보에는 이들이 사용하는 제로데이 익스플로잇, 악성코드, 해킹 도구 등이 포함되어 있었다. 이 사건은 사이버 보안 업계에 큰 충격을 주었으며, 특히 제로데이 공격에 대한 우려를 증폭시켰다. 유출된 문서의 내용에 따르면, 이큐에이션 그룹은 자신들이 개발한 사이버 무기를 판매하여 수익을 창출하려 했던 것으로 보인다. 이들의 공격 대상과 판매 대상에 대한 정보는 아직까지 완전히 밝혀지지 않았지만, 일부 분석가들은 특정 국가나 기업을 대상으로 한 공격일 가능성을 제기했다. 이 유출 사건은 사이버 무기 시장의 어두운 면을 드러냈으며, 국가 및 기업의 사이버 보안 강화의 필요성을 강조하는 계기가 되었다.https://wikileaks.org/ciav7/document/20160813/
4.2. 두 번째 유출
2013년 8월 28일, 이퀘이션 그룹이 해킹한 서버 목록, 비공개 도구 정보, 관련 문서를 담은 "Message #5 - TrickOrTreat"라는 이름의 두 번째 유출이 발생했다.https://wikileaks.org/ciav7/documents/index.html CIA Vault 7: TrickOrTreat. 위키리크스. 이 유출은 이퀘이션 그룹의 활동과 관련된 중요한 정보를 포함하고 있어, 사이버 보안 전문가들 사이에서 큰 주목을 받았다. 유출된 문서들은 이퀘이션 그룹이 전 세계적으로 광범위한 해킹 활동을 벌였음을 시사하며, 특히 정부 기관, 금융 기관, 통신 회사 등을 대상으로 한 공격이 포함되어 있었다. 유출된 정보에는 해킹에 사용된 도구, 감염된 서버의 IP 주소, 해킹 대상에 대한 정보 등이 포함되어 있었다. 이 유출 사건은 사이버 보안의 취약성을 드러냈으며, 각국 정부와 기업들이 사이버 공격에 대한 방어 체계를 강화해야 할 필요성을 제기했다.
4.3. 세 번째 유출
2023년 11월, "Message #6 - BLACK FRIDAY / CYBER MONDAY SALE"이라는 제목의 세 번째 유출이 발생했다. 이 유출은 툴 해설서, 파일 구조 스크린샷을 포함하고 있다. 구체적인 내용은 다음과 같다.
4.4. 네 번째 유출
2017년 4월 8일, 섀도 브로커스는 미디엄 계정을 통해 "Don't Forget Your Base"라는 제목의 유출 사건을 공개했다. 이 유출은 암호화된 파일의 비밀번호와 함께 이루어졌다. 유출된 자료는 리눅스/유닉스 기반 시스템을 대상으로 하는 해킹 도구들을 포함하고 있었다. 이 도구들은 네트워크 장비, 서버, 데스크톱 시스템 등 다양한 환경에서 사용될 수 있도록 설계되었다. 섀도 브로커스는 이 유출을 통해 자신들의 해킹 능력을 과시하고, 잠재적인 구매자들에게 추가적인 정보를 제공하려는 의도를 보였다.
4.5. 다섯 번째 유출
2017년 4월 14일, 섀도 브로커스는 다섯 번째 유출을 게시했다. 이 유출은 "LostinTranslation"으로 명명되었으며, 트위터 계정을 통해 스팀 블록체인 링크를 게시하는 방식으로 이루어졌다. 유출된 내용은 "oddjob", "swift", "windows" 폴더로 구성되었으며, 섀도 브로커스는 이 유출을 "가장 유해한 릴리스"라고 언급했다.
유출된 도구와 익스플로잇은 다음과 같다:
* DANDERSPIRITZ
* ODDJOB
* FUZZBUNCH
* DARKPULSAR
* ETERNALSYNERGY
* ETERNALROMANCE
* ETERNALBLUE
* EXPLODINGCAN
* EWOKFRENZY
이 유출의 데이터 메타데이터에는 NSA 직원과 관련된 정보가 포함되어 있었다.
4.5.1. 이터널블루
이터널블루(EternalBlue)는 윈도우 SMBv1 서버의 원격 코드 실행 취약점(MS17-010)을 악용한 익스플로잇이다.EternalBlue - Wikipedia 이 취약점은 해커들이 대상 시스템에 악성 코드를 실행할 수 있게 해준다. 특히, 이 취약점은 2017년 워너크라이 랜섬웨어 공격에 사용되어 전 세계적으로 큰 피해를 입혔다. WannaCry ransomware attack - Wikipedia
이터널블루는 미국 국가안보국(NSA)이 개발한 것으로 알려져 있으며, 이후 해킹 그룹 섀도 브로커스(Shadow Brokers)에 의해 유출되었다. The Shadow Brokers - Wikipedia 섀도 브로커스는 이 익스플로잇을 포함한 여러 해킹 도구를 공개하여 사이버 보안에 큰 위협을 초래했다.
MS17-010 취약점을 악용하는 이터널블루는 윈도우 운영체제의 SMBv1 프로토콜의 특정 버그를 이용한다. SMBv1은 파일 공유 및 프린터 공유를 위해 사용되는 프로토콜로, 보안 취약점이 발견된 이후 마이크로소프트는 패치를 배포했다. Microsoft Security Bulletin MS17-010 - Microsoft Support 그러나, 패치를 적용하지 않은 시스템은 이터널블루 공격에 취약하며, 워너크라이와 같은 랜섬웨어 공격의 대상이 될 수 있다. 2017년 워너크라이 사태 이후, 기업 및 개인 사용자들은 운영체제 업데이트의 중요성을 인식하고, 보안 패치를 즉시 적용하는 것이 권고되고 있다.
5. 배후와 동기
섀도 브로커스의 배후 세력과 유출 동기를 둘러싸고 다양한 추측이 제기되었다. 제임스 뱀포드와 맷 수이치는 섀도 브로커스가 미국 국가안보국(NSA) 내부자의 소행일 가능성을 제기했다. 2016년 8월 섀도 브로커스는 NSA의 사이버 무기 덤프를 온라인에 공개하여 NSA의 사이버 공격 도구를 노출시켰다. 워싱턴 포스트는 NSA 데이터 유출 혐의로 기소된 부즈 앨런 해밀턴 직원 해럴드 토마스 마틴 III를 유력한 용의자로 지목했다. 마틴은 기밀 데이터 대량 유출 혐의를 받았으며, 섀도 브로커스가 공개한 자료와 연관성이 있을 수 있다는 의혹을 받았다. 용의자가 구금된 이후에도 섀도 브로커스는 메시지를 게시하고 언론 인터뷰를 진행하며 활동을 지속했는데, 이는 단순한 해커 집단이 아닌 특정 목적을 가진 조직일 수 있다는 추측을 낳았다.
일본의 IT 저널리스트 이노우에 토시유키는 2023년 5월 29일, 섀도 브로커스 배후에 일본 또는 동아시아인이 연루되었을 가능성을 제기했다.「シャドウブローカーズ」事件の犯人は日本人か? 그는 섀도 브로커스가 공개한 자료 중 일본어를 포함한 동아시아 언어의 흔적을 근거로 들었다. 또한, 섀도 브로커스가 NSA 해킹 도구를 공개한 시점이 일본 정부가 사이버 안보를 강화하던 시기와 겹친다는 점을 지적했다. 이노우에의 주장은 아직 가설의 영역에 머물러 있다.
5.1. 러시아 배후설
에드워드 스노든은 2016년 8월 15일, 섀도 브로커스 사건에 러시아가 연루되었을 가능성을 제기하는 트윗을 게시했다. 그는 해당 트윗에서 "섀도 브로커스는 NSA와 관련된 러시아의 공격으로 보인다."라고 주장했다. 또한, 뉴욕 타임스는 섀도 브로커스 사건을 2016년 미국 대통령 선거 당시 발생한 민주당 전국위원회 (DNC) 해킹 사건, 그리고 존 포데스타의 이메일 유출 사건과 연관지어 보도했다. 이러한 보도는 섀도 브로커스가 공개한 해킹 도구들이 DNC 해킹에 사용된 것과 유사하다는 점을 지적하며, 러시아의 개입 가능성에 무게를 실었다.
5.2. NSA 내부자설
제임스 뱀포드와 맷 수이치는 섀도 브로커스(The Shadow Brokers)가 미국 국가안보국(NSA) 내부자의 소행일 가능성을 제기했다. 2016년 8월에, 섀도 브로커스는 NSA의 사이버 무기 덤프를 온라인에 게시하며, NSA의 고유한 사이버 공격 도구들을 노출시켰다.
또한, 워싱턴 포스트는 NSA 데이터 유출 혐의로 기소된 부즈 앨런 해밀턴(Booz Allen Hamilton) 직원 해럴드 토마스 마틴 III(Harold Thomas Martin III)를 유력한 용의자로 지목했다. 마틴은 기밀 데이터를 대량으로 유출한 혐의를 받았으며, 섀도 브로커스가 공개한 자료와 연관성이 있을 수 있다는 의혹을 받았다.
흥미롭게도, 용의자가 구금된 이후에도 섀도 브로커스는 메시지를 게시하고 언론 인터뷰를 진행하여, 자신들의 존재를 지속적으로 알렸다. 이러한 행보는 섀도 브로커스가 단순한 해커 집단이 아니라, 특정 목적을 가진 조직일 수 있다는 추측을 낳게 했다.
5.3. 일본 배후설
일본의 IT 저널리스트인 이노우에 토시유키는 2023년 5월 29일 자신의 웹사이트에 게시된 기사에서 '더 섀도 브로커스'의 배후에 일본 또는 동아시아인이 연루되었을 가능성을 제기했다.「シャドウブローカーズ」事件の犯人は日本人か? 이노우에는 '더 섀도 브로커스'가 공개한 자료 중 일본어를 포함한 동아시아 언어의 흔적을 근거로 이러한 주장을 펼쳤다. 그는 또한, '더 섀도 브로커스'가 미국 국가안보국(NSA)의 해킹 도구를 입수하고 공개한 시점이, 일본 정부가 사이버 안보 강화에 나선 시기와 겹친다는 점을 지적하며, 이와 관련된 정황을 제시했다. 이노우에의 주장은 아직까지 공식적으로 확인되지 않았으며, 가설의 영역에 머물러 있다.