기사 제공처 : 글로벌다이렉트뉴스 / 등록기자: 유미나 기자 [기자에게 문의하기]  0 /  0

해당 기사에 관련하여 문의하기에 남겨주시면 "유미나"기자에게 전송됩니다

 이름

 연락처

- -

 이메일

 확인

[글로벌다이렉트뉴스=편집국] 유미나 기자 - 구글이 자사 세일즈포스 데이터베이스가 악명높은 해커그룹 샤이니헌터스(ShinyHunters)에 의해 침해당했다고 발표하면서 전 세계 25억 명의 지메일 사용자가 피싱 공격 위험에 노출됐다.

구글 위협정보그룹(GTIG)은 8월 6일 공식 블로그를 통해 UNC6040으로 분류되는 샤이니헌터스 그룹이 지난 6월 자사의 세일즈포스 고객관계관리(CRM) 시스템을 침해해 중소기업 고객 정보를 탈취했다고 밝혔다.

"공격자가 탈취한 데이터는 기업명과 연락처 같은 기본적이고 대부분 공개적으로 접근 가능한 비즈니스 정보로 한정됐다"고 구글은 설명했다. 하지만 패스워드나 민감한 개인정보는 유출되지 않았다고 강조했다.

이번 침해는 아디다스, 시스코, 콴타스항공, 판도라, 알리안츠생명, LVMH 계열사인 루이비통, 디올, 티파니앤코 등 글로벌 대기업들을 연쇄 공격한 광범위한 세일즈포스 표적 캠페인의 일부로 확인됐다.

음성 피싱으로 시스템 침투

샤이니헌터스 그룹은 이번 공격에서 정교한 음성 피싱(비싱) 기법을 사용했다. 공격자들은 IT 지원 담당자로 가장해 직원들에게 전화를 걸어 악성 버전의 세일즈포스 데이터로더 애플리케이션 설치를 유도했다.

구글에 따르면 공격자들은 "연결 코드"를 입력하도록 피해자를 설득해 자신들이 통제하는 데이터로더를 피해자의 세일즈포스 환경에 연결시켰다. 이를 통해 정당한 접근 권한을 획득한 후 고객 데이터를 대량으로 추출했다.

현재 Reddit 등 온라인 커뮤니티에서는 이미 관련 피싱 공격 시도가 보고되고 있다. 사용자들은 가짜 구글 직원들이 계정 보안 침해를 알린다며 전화로 연락해왔다고 증언했다.

4억원 몸값 지불한 기업도 등장

블리핑컴퓨터에 따르면 샤이니헌터스는 이미 한 기업으로부터 4비트코인(약 4억원) 상당의 몸값을 받아냈다. 이 그룹은 데이터 공개를 막기 위해 이메일을 통해 기업들을 협박하고 있으며, 개별 협상이 끝나면 해킹 포럼에서 데이터를 공개 판매할 계획인 것으로 알려졌다.

구글은 "샤이니헌터스 브랜드를 사용하는 공격자들이 데이터 유출 사이트(DLS) 개설을 통해 협박 전술을 확대할 것으로 보인다"고 경고했다.

샤이니헌터스는 2020년부터 활동해온 악명높은 사이버범죄 조직으로, 작년에는 스노우플레이크 클라우드 저장소 공격으로 AT&T, 산탄데르은행, 티켓마스터 등 165개 조직을 침해했다.

구글, 보안 강화 방안 제시

구글은 사용자들에게 다음과 같은 즉시 보안 조치를 권고했다:

구글 보안 점검 도구를 통한 계정 취약점 자동 식별, 고급 보호 프로그램 가입으로 유해 파일 차단 및 비구글 앱의 지메일 접근 제한, 패스워드 대신 패스키 사용 전환 등이다.

특히 구글은 "직원들이 전화나 이메일로 패스워드 재설정이나 기타 계정 변경을 요청하는 일은 절대 없다"고 강조했다.

사이버보안 전문가들은 이번 사건이 기술적 취약점보다는 인적 요소를 악용한 사회공학 공격의 위험성을 보여주는 대표 사례라고 분석했다.

GDN VIEWPOINTS: 사이버보안 패러다임의 전환점

이번 구글 해킹 사건은 현대 사이버보안이 직면한 근본적 딜레마를 극명하게 드러낸다. 세계 최고 수준의 보안 기술을 보유한 구글조차 정교한 사회공학 공격 앞에서는 무력할 수 있다는 사실이 입증됐기 때문이다.

특히 주목할 점은 구글의 위협정보팀이 샤이니헌터스의 공격 기법을 분석해 경고했음에도 불구하고 바로 그 기업이 같은 방식으로 공격당했다는 아이러니다. 이는 사이버보안이 단순히 기술적 방어벽을 높이는 것만으로는 해결되지 않는다는 것을 시사한다.

샤이니헌터스의 이번 세일즈포스 표적 캠페인은 2024년 스노우플레이크 공격과 유사한 패턴을 보인다. 클라우드 서비스의 기술적 취약점을 공격하는 대신, 인간의 심리적 약점을 교묘히 악용하는 방식이다. 이는 앞으로의 사이버 공격이 '기술 대 기술'에서 '심리학 대 보안의식'의 싸움으로 전환되고 있음을 의미한다.

더욱 우려스러운 것은 AI 기술의 발달로 음성 피싱 공격이 더욱 정교해질 가능성이다. 딥페이크 음성 기술을 활용하면 실제 CEO나 IT 담당자의 목소리를 완벽하게 모방할 수 있어, 직원들이 가짜 요청을 구분하기가 더욱 어려워질 것이다.

기업들은 이제 기술적 방어와 함께 '인간 방화벽' 구축에 더욱 주력해야 한다. 정기적인 보안 교육, 사회공학 공격 시뮬레이션, 그리고 무엇보다 '의심하는 문화' 조성이 필수적이다. 아무리 급하고 중요해 보이는 요청이라도 검증 절차를 거치는 것이 새로운 보안 상식이 되어야 한다.

이번 사건은 사이버보안 업계에 새로운 화두를 던진다. 기술의 진보가 공격자와 방어자 모두에게 새로운 무기를 제공하는 상황에서, 궁극적으로 승부를 가르는 것은 인간의 판단력과 보안 의식일지도 모른다.