'취약점'보다 '사람'을 공략하는 현대 사이버 공격의 방향성 보여줘
구글 위협 인텔리전스 그룹(GTIG)은 최근 사이버 범죄 조직 UNC6040이 기업 임직원을 대상으로 보이스 피싱을 통해 세일즈포스(Salesforce) 인스턴스를 침해하고 데이터를 탈취한 사건을 다수 포착했다고 발표했다.
이번 공격은 기술적 취약점을 노린 것이 아니라, 사용자의 신뢰를 악용해 커넥티드 앱을 변조하고 인증 절차를 우회하는 방식으로 수행됐다. 조사 결과에 따르면 유럽과 미주 지역의 관광, 교육, 유통 등 다양한 산업에 걸쳐 약 20개 기업이 이 조직의 공격 대상이 된 것으로 확인됐다.
UNC6040의 핵심 수법은 IT 지원 담당자를 사칭해 전화를 걸고, 사용자가 세일즈포스 포털에 접근해 변조된 커넥티드 앱을 설치하도록 유도하는 것이다. 이 앱은 종종 세일즈포스의 공식 툴인 ‘데이터 로더(Data Loader)’를 위장한 형태로 제공된다. 공격자는 피해자가 앱을 승인하는 순간, 세일즈포스 인스턴스에 대한 액세스 권한을 획득하고 내부 데이터를 무단으로 수집할 수 있게 된다. 이후 공격자는 해당 권한을 활용해 옥타(Okta) 등 다른 클라우드 서비스로 측면 이동을 시도하며, 일부 조직에서는 Microsoft 365 계정으로의 확장 침입도 관찰됐다.
GTIG는 이번 공격의 특이점으로 “세일즈포스의 기술적 취약점을 악용하지 않고, 전적으로 사용자 조작(social engineering)에 의존한다는 점”을 강조했다. 사용자는 IT 지원 요청이라는 신뢰 기반의 전화를 받고 의심 없이 인증 절차를 따르게 되며, 공격자는 이 틈을 타 다중 인증(MFA) 절차까지 우회한다. 구글은 이 방식이 향후 다양한 클라우드 서비스 환경에 적용될 가능성이 있다고 경고했다.
또한 UNC6040은 단독으로 데이터를 탈취하고 멈추지 않았다. 조사에 따르면 일부 피해 조직에서는 침해 이후 수개월이 지난 뒤에야 데이터 탈취 사실을 인지하고 갈취 정황을 포착했다. 이는 UNC6040이 탈취 데이터를 제3의 사이버 범죄자에게 넘기고, 이들이 갈취 공격을 이어받는 협업 구조를 가지고 있을 가능성을 시사한다. 특히 이들은 피해자에게 ‘샤이니헌터스(ShinyHunters)’와 연계되어 있다는 주장까지 하며 압박 수위를 높이기도 했다.
구글 측은 UNC6040의 인프라와 TTP(전술, 기술, 절차)가 ‘더컴(The Com)’이라는 느슨한 사이버 범죄자 연합의 생태계와 일치한다고 분석했다. 이 연합에는 ‘스캐터드 스파이더(Scattered Spider)’로 알려진 UNC3944 또한 포함되어 있어, 보다 넓은 사이버 범죄 생태계 안에서 UNC6040이 활동하고 있을 가능성이 높다.
이번 사건은 커넥티드 앱과 사용자 조작을 결합한 신종 피싱 공격이 기업 클라우드 환경을 어떻게 위협할 수 있는지를 보여주는 사례다. 특히 사용자의 인증 행동을 노리는 방식은 기존의 기술 기반 보안 조치를 무력화할 수 있다는 점에서 기업 보안 정책의 새로운 전환점을 요구한다.
구글은 대응 방안으로 세일즈포스의 커넥티드 앱 접근 권한을 최소화하고, 데이터 로더와 같은 툴에 대한 사용 권한을 제한할 것을 권고했다. 또한, 신뢰할 수 없는 IP 기반 접근 차단, 모든 사용자에 대한 강제 MFA 적용, 세일즈포스 쉴드(Shield)와 같은 보안 모니터링 도구의 적극 활용이 요구된다고 강조했다.
보안 전문가들은 “기술적 보안 조치만큼이나 종사자 대상 보안 교육과 의심스러운 접근 시나리오에 대한 반복 훈련이 필요하다”며, “AI 기반 보이스 피싱 탐지 시스템 도입 등 조직 차원의 대응이 시급하다”고 조언했다.
이번 UNC6040의 사례는 '취약점'보다 '사람'을 공략하는 현대 사이버 공격의 방향성을 명확히 보여준다. 기업들은 내부 보안 시스템을 강화하는 동시에, 사용자 행동 기반 위협에 대응할 수 있는 방어 전략을 수립해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
