클라우드 시스템을 노린 정교한 사이버 공격: 세일즈포스 침해 사건과 그 여파
2025년 6월, 해킹그룹 '샤이니헌터스'가 세일즈포스(Salesforce) 환경에 무단 침입하여 중소기업의 비즈니스 정보와 연락처를 탈취하는 사건이 발생했습니다. 이들은 IT 지원팀이나 세일즈포스 지원팀으로 신분을 위장해 직원들에게 전화를 건 뒤 '시스템 점검' 등을 명목으로 세일즈포스의 '데이터 로더' 애플리케이션을 다운로드하도록 유도했습니다. 이 데이터 로더 앱은 정상적인 세일즈포스 도구로 위장한 악성 소프트웨어였으며, 직원들이 8자리 OAuth 인증 코드를 알려주면서 해커들이 세일즈포스 환경에 대한 접근 권한을 획득하게 되었습니다.
구글 위협 인텔리전스 그룹(GTIG)은 이 사건에 대해 "도난당한 데이터는 기본적이고 대부분 공개적으로 접근 가능한 비즈니스 정보"라고 설명했지만, 향후 갈취 목적으로 악용될 가능성에 대한 우려를 표명했습니다. 또한, 구글은 이 해킹그룹이 'Sp1d3rHunters'라는 이름으로 자신들을 지칭하며, '스캐터드 스파이더'와의 협력을 주장하고 있다고 밝혔습니다.
세일즈포스는 어떤 회사인가요?
이번 사건의 배경에 등장하는 세일즈포스(Salesforce)는 전 세계 수많은 기업이 사용하는 '고객 관리 플랫폼(CRM)'을 제공하는 미국의 대표적인 IT 기업입니다.
쉽게 말해, 고객의 이름·연락처·구매이력 등 중요한 정보를 한데 모아 관리할 수 있는 도구이며, 세일즈포스는 이 분야의 글로벌 1위 기업입니다. 이 플랫폼을 통해 고객과의 관계를 효율적으로 관리하고, 마케팅이나 서비스 응대에 활용합니다. 그만큼 중요한 고객 정보가 대부분 이 플랫폼에 저장되어 있습니다. 그래서 한 번 권한이 뚫리면, 기업의 핵심 데이터가 통째로 유출되는 위험이 발생합니다.
글로벌 기업들의 유사한 침해 사례
이러한 공격은 특정 기업에 국한되지 않고, 다양한 산업 분야의 글로벌 기업들을 대상으로 확산되고 있습니다.
- 에어프랑스: 2025년 7월, 에어프랑스는 고객의 개인 정보가 제3자 서비스 제공 업체 플랫폼을 통해 유출된 사실을 확인했습니다. 항공사는 영향을 받은 고객들에게 이메일 알림을 완료했으며, 관련 당국에도 이 사실을 보고했습니다.
- 판도라: 2025년 8월, 제3자 플랫폼을 통해 고객 정보가 유출된 사실을 확인했습니다. 유출된 정보에는 고객의 이름, 이메일 주소, 생년월일 등이 포함되었으며, 비밀번호나 결제 카드 정보는 포함되지 않았습니다.
- 루이비통: 2025년 7월, 홍콩에서 약 419,000명의 고객 정보가 유출된 사실을 확인했습니다. 유출된 정보에는 고객의 이름, 여권 정보, 주소, 이메일 주소, 전화번호, 쇼핑 이력, 제품 선호도 등이 포함되었습니다.
공격 수법의 진화와 보안 대응의 중요성
이러한 사례들은 단순한 기술적 해킹을 넘어, 사회공학적 기법과 제3자 서비스 제공 업체를 통한 공급망 공격이 결합된 형태로 진화하고 있음을 보여줍니다. 공격자들은 정상적인 기업의 지원팀이나 IT 부서로 위장하여 직원들을 속이고, 악성 소프트웨어를 설치하거나 인증 정보를 탈취하는 방식으로 접근하고 있습니다.
이에 따라 기업들은 다음과 같은 보안 대응 방안을 강화해야 합니다.
- 제한된 권한 원칙 적용: 제3자 도구나 애플리케이션에 대한 접근 권한을 최소화하여, 불필요한 정보 유출을 방지합니다.
- 허용 목록 관리 및 신뢰할 수 있는 관리자 지정: 연결된 애플리케이션과 서비스에 대한 허용 목록을 관리하고, 강력한 권한을 가진 신뢰할 수 있는 관리자만 접근할 수 있도록 제한합니다.
- VPN 및 TOR 네트워크 차단을 위한 IP 제한 설정: 외부 네트워크를 통한 비정상적인 접근을 차단하기 위해, VPN 및 TOR 네트워크를 통한 접속을 제한합니다.
- 의심 활동 모니터링 및 다중 인증(MFA) 시행: 시스템 내 의심스러운 활동을 모니터링하고, 모든 계정에 대해 다중 인증을 적용하여 보안을 강화합니다.
블랙쏘세지로 안전한 링크 확인하기
위와 같은 사이버 공격에서 가장 위험한 요소 중 하나는 의심스러운 링크입니다. 스마트폰이나 PC에서 링크를 클릭하는 순간, 사용자는 즉시 위험에 노출될 수 있습니다.
블랙쏘세지는 원격 브라우저 격리 기술을 활용하여, 클릭한 링크를 내 기기가 아닌 안전한 원격 환경에서 열람하게 합니다. 쉽게 말해, 위험한 웹페이지를 직접 만지지 않고 방탄유리 너머에서 관찰하는 것과 같습니다.
