샤넬, 사이버공격 당해 데이터 유출 발생…최근 명품 브랜드 대상 공격 확산

미국 고객 일부 개인정보가 외부로 유출된 사실 확인

프랑스 명품 브랜드 샤넬(Chanel)이 최근 미국 고객 정보를 대상으로 한 대규모 사이버 공격에 노출된 것으로 확인됐다. 이번 사고는 고객 관계 관리(CRM) 플랫폼인 세일즈포스(Salesforce)를 악용한 일련의 공격 중 하나로, 글로벌 명품 기업들을 잇따라 겨냥하고 있는 해킹 조직 샤이니헌터스(ShinyHunters)의 소행으로 추정된다.

샤넬은 7월 25일경 고객센터 시스템에서 이상 징후를 감지한 후 내부 조사를 통해 미국 고객 일부의 개인정보가 외부로 유출된 사실을 확인했다고 밝혔다. 유출된 정보는 고객센터를 통해 문의한 고객의 이름, 이메일 주소, 우편 주소, 전화번호 등이며, 결제 정보나 민감한 개인정보는 포함되지 않았다고 설명했다. 피해 고객에게는 개별적으로 통보가 완료된 상태다.

보안 기업에 따르면, 이번 공격은 세일즈포스 플랫폼 자체의 취약점 때문이 아니라, 기업 내부 직원이 보이스 피싱(vishing)이나 소셜 엔지니어링 기법에 속아 악성 OAuth 애플리케이션에 권한을 부여하면서 발생한 것으로 분석된다. 공격자는 이 권한을 이용해 세일즈포스 내 CRM 데이터를 대량으로 추출하고, 기업에 금전적 협박을 가하는 방식으로 활동하고 있다.

샤이니헌터스는 최근 몇 달간 명품과 항공, 보험 등 다양한 산업군을 대상으로 이와 유사한 수법의 공격을 전개해왔다. 특히 콴타스(Qantas)의 경우, 필리핀에 있는 고객센터 시스템이 침해되며 약 570만 명의 고객 데이터가 유출됐다. 루이비통 오스트레일리아 역시 41만 명이 넘는 고객 정보가 노출됐으며, 아디다스, 알리안츠 라이프, 디올, 티파니 등도 같은 방식의 피해를 입은 것으로 알려졌다.

세일즈포스 측은 “당사 플랫폼은 침해되지 않았으며, 문제는 고객사의 계정이 외부의 정교한 피싱 공격에 노출된 결과”라며 플랫폼 자체의 보안에는 문제가 없다는 입장을 밝혔다. 이어 “모든 고객이 다중 인증(MFA)을 활성화하고, 최소 권한 원칙을 적용하며, 외부 애플리케이션 연결을 철저히 관리해야 한다”고 강조했다.

보안 전문가들은 이번 사태의 주요 원인으로 사용자 계정 보안 부족, 내부 권한 관리 미흡, 앱 승인 절차의 허점을 지적하고 있다. 특히 지원 인력이나 관리자 계정에 대한 접근을 제한하고, OAuth 애플리케이션 승인 절차를 철저히 통제해야 한다는 조언이 이어졌다.

전문가들은 기업들이 다음과 같은 보안 조치를 취할 것을 권고하고 있다. 먼저, 전 계정에 대해 멀티팩터 인증을 활성화하고, 필요 최소한의 권한만 부여해야 한다. 또한, 정기적인 피싱 교육과 훈련을 통해 임직원이 보이스 피싱이나 허위 앱 요청을 구별할 수 있도록 해야 하며, 세일즈포스와 같은 SaaS 플랫폼에 대한 접근 로그를 수시로 점검하는 것이 필수적이라고 강조했다.

[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025/ 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명

(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)