판도라 'Pandora' 고객 정보 유출… 세일즈포스를 노린 교묘한 피싱 공격
여보세요, 고객센터인데요. 보안 점검을 위해 간단한 인증만 도와주시면 됩니다.
이 한 마디에 회사의 고객 정보 수십만 건이 고스란히 빠져나갔습니다.
8월 5일, 세계적인 보석 브랜드 판도라(Pandora)는 고객 정보가 유출되었다는 사실을 공식 발표했습니다.이름, 이메일, 생년월일이 빠져나갔고, 다행히 비밀번호나 금융 정보는 빠지지 않았다고 밝혔습니다. 하지만 이미 유출된 정보만으로도 피싱이나 사기 시도에 충분히 활용될 수 있는 수준입니다.
무엇이 문제였을까요? 해킹 그룹은 판도라의 시스템을 정면으로 뚫은 것이 아닙니다. 대신, 내부 직원의 ‘믿음’을 파고들었습니다.
세일즈포스(Salesforce)는 어떤 회사인가요?
이번 사건의 배경에 등장하는 세일즈포스(Salesforce)는, 전 세계 수많은 기업이 사용하는 '고객 관리 플랫폼(CRM)'을 제공하는 미국의 대표적인 IT 기업입니다.
쉽게 말해, 고객의 이름·연락처·구매이력 등 중요한 정보를 한데 모아 관리할 수 있는 도구이며, 세일즈포스는 이 분야의 글로벌 1위 기업입니다.
판도라 같은 기업들은 이 플랫폼을 통해 고객과의 관계를 효율적으로 관리하고, 마케팅이나 서비스 응대에 활용합니다. 그만큼 중요한 고객 정보가 대부분 이 플랫폼에 저장되어 있습니다. 그래서 한 번 권한이 뚫리면, 기업의 핵심 데이터가 통째로 유출되는 위험이 발생합니다.
고객센터로 위장한 해커, 가짜 앱을 설치하게 만들다
공격자는 사내 헬프데스크 직원을 사칭하여 판도라 직원에게 전화를 걸었습니다.
보안 점검이 필요합니다. 세일즈포스 앱 설정 페이지에 이 코드를 입력해 주세요.
이 코드를 입력하면 ‘보안 앱’이 설치되는 줄 알았던 직원은 사실상 해커가 만든 가짜 앱에 접근 권한을 주는 행동을 하게 된 것입니다.
이 가짜 앱은 외형만 보면 세일즈포스 공식 앱과 구분이 어렵습니다. 마치 사기꾼이 경찰 제복을 입고 다가오는 것처럼, 그럴듯한 외관으로 사람을 속입니다. 이 앱은 OAuth라는 인증 방식을 악용해, 사용자의 승인만 있으면 모든 고객 데이터에 접근할 수 있는 열쇠를 얻습니다.
결과적으로, 해커는 공식적인 권한을 획득한 채 세일즈포스에 보관된 고객 정보를 다운로드했습니다. 이후 금전 협박이나 데이터 유출 위협으로 기업을 압박하는 방식으로 이어지는 것입니다.
문제는 세일즈포스가 아니다
이번 사건에서 중요한 점은 세일즈포스 플랫폼 자체에 보안 취약점은 없었다는 사실입니다. 그럼에도 불구하고 해킹이 가능했던 이유는 다음과 같습니다.
- 직원이 전화 피싱에 속아 앱 설치를 승인했고
- 그 앱이 세일즈포스와 연결되며 데이터 접근 권한을 얻게 되었으며
- 기존의 보안 장치들은 이 “정상적인 승인 절차”를 이상으로 판단하지 못했기 때문입니다.
이는 ‘기술의 허점’이 아니라 ‘사람의 실수’를 노린 공격이었습니다. 사람은 늘 약한 고리입니다. 아무리 튼튼한 자물쇠라도, 누군가 무심코 열쇠를 넘겨준다면 아무 소용이 없습니다.
소셜 엔지니어링, 피싱, 그리고 제3자 위험
공격자들은 더 이상 기술의 틈만을 노리지 않습니다. 이제는 전화 한 통, 이메일 한 줄로 사람을 속이고, 시스템에 들어갑니다. 특히 외부 벤더나 플랫폼을 많이 활용하는 산업군, 예를 들어 리테일이나 럭셔리 브랜드 업계는 이러한 위험에 노출될 가능성이 높습니다.
더구나 이번 사건은 단독 사건이 아닙니다. 아디다스, 디올, 루이비통, 알리안츠생명 등 많은 글로벌 기업이 유사한 공격을 당했습니다. 공통점은 모두 외부 플랫폼과 연결되어 있고, 내부 보안 인식이 취약한 상태였다는 점입니다. 이런 복합적인 위험은 우리가 이제 단순히 백신이나 방화벽만으로는 보호받을 수 없음을 보여줍니다.
클릭 하나가 위험한 세상에서, 안전하게 보려면?
요즘은 전화뿐 아니라, 문자 메시지나 이메일로도 피싱 링크가 넘쳐납니다. 그 링크를 클릭하면, 또 다른 ‘가짜 앱’이 기다리고 있을 수 있습니다. 그렇다면, 링크를 아예 안 보면 되지 않을까요? 현실적으로 어렵습니다.
직장에서는 고객이 보낸 링크를 확인해야 할 수도 있고, 일상에서도 택배 문자나 예약 링크는 꼭 열어봐야 합니다. 그래서 안전하게 링크를 볼 수 있는 방법이 필요합니다.
블랙쏘세지는 링크를 안전하게 여는 방법입니다
일상에서 링크를 클릭하는 일은 마치 낯선 편지를 여는 일과 같습니다. 그 안에 청첩장이 들어있을 수도 있고, 엉뚱한 청구서나 바이러스가 들어있을 수도 있습니다. 블랙쏘세지는 이 편지를 대신 열어봐주는 우체국 직원과 같습니다.
사용자가 링크를 누르면, 실제로는 내 기기가 아니라 멀리 떨어진 안전한 브라우저에서 내용을 열어봅니다. 그래서 그 링크 안에 악성코드나 위험한 앱이 숨어 있더라도, 내 스마트폰이나 PC는 영향을 받지 않습니다. 특히, 고객센터를 사칭한 피싱 링크나 가짜 로그인 페이지와 같은 공격에도 효과적입니다.
링크는 그대로 열리지만, 위험은 내 기기까지 닿지 않습니다.
소셜 엔지니어링이 아무리 교묘해도, 링크만큼은 안전하게 열어보세요. 블랙쏘세지가 도와드립니다.
