세계적 보석 브랜드 판도라, 세일즈포스 계정 탈취 기반 공격으로 고객 정보 유출

공격 배후로는 데이터 유출 및 금전 협박을 자행해온 해킹 그룹 샤이니헌터스가 유력해

8월 5일, 세계적 보석 브랜드 판도라(Pandora)가 제3자 플랫폼을 통한 고객 정보 유출 사실을 공식적으로 인정했다. 회사 측은 고객 이름, 이메일 주소, 생년월일이 유출되었으며, 비밀번호나 금융 정보, 신원증명 정보는 유출되지 않았다고 밝혔다. 이번 공격은 최근 급증하고 있는 세일즈포스(Salesforce)를 노린 데이터 탈취 공격의 일환으로 분석된다.

판도라는 고객들에게 보낸 안내문에서 “제3자 플랫폼을 통해 무단 접근이 발생했으며, 현재는 해당 접근을 차단하고 보안 조치를 강화했다”고 설명했다. 유출된 데이터가 다크웹에 유통되었다는 증거는 아직까지 발견되지 않았으며, 금전 요구나 랜섬 협박도 없었던 것으로 전해졌다.

이번 공격은 단순한 기술적 침해가 아닌, 고도로 정교한 소셜 엔지니어링과 피싱 기법이 동원된 사이버 범죄다. 구글 위협 인텔리전스 그룹(GTIG)에 따르면, 공격자는 사내 헬프데스크 직원으로 위장해 피해 기업의 직원에게 전화를 걸고, 세일즈포스의 앱 연결 설정 페이지에서 공격자가 제공한 ‘연결 코드’를 입력하도록 유도했다. 이는 세일즈포스의 데이터 로더(Data Loader) 애플리케이션을 사칭한 악성 OAuth 앱의 설치를 승인하게 만드는 방식이다.

공격자가 가짜 OAuth 앱(예를 들면, 이름만 바꾼 세일즈포스 앱)을 만들어 직원에게 "이 앱 설치하고 코드 입력하라"고 속이면, 직원이 승인하는 순간, 해당 앱은 공식 접근 권한을 획득하고, 세일즈포스 데이터베이스 전체를 다운로드할 수 있다.

이렇게 공격자가 시스템에 접근하면, 고객 정보가 담긴 세일즈포스 데이터베이스 전체를 다운로드해 탈취하며, 이후 피해 기업에 금전 협박을 시도하는 방식으로 이어진다. 실제로 이번 판도라 사건 외에도 아디다스(Adidas), 콴타스(Qantas), 알리안츠생명(Allianz Life), 루이비통(Louis Vuitton), 디올(Dior), 티파니앤코(Tiffany & Co.) 등 다수의 글로벌 기업이 유사한 방식의 공격을 받은 사실이 확인됐다.

세일즈포스는 공식 입장에서 “당사 플랫폼 자체에는 취약점이 없으며, 보안은 고객과 공급업체 모두의 책임”이라며 “MFA(다중인증), 최소 권한 원칙 적용, 연결 애플리케이션의 엄격한 관리 등의 보안 수칙을 반드시 준수해야 한다”고 강조했다.

보안 전문가들은 이번 사건이 공급망 보안 및 제3자 관리 부실의 위험성을 단적으로 보여주는 사례라고 지적했다. 특히 리테일과 럭셔리 산업군은 외부 벤더 의존도가 높고, 내부 교육이 부족한 경우가 많아 피싱 공격에 더 취약하다. 또한 피싱 공격은 기술적 취약점이 아닌 ‘인간의 실수’를 노리기 때문에 기존의 방화벽이나 백신만으로는 막기 어렵다.

또한 이번 공격의 배후로는 데이터 유출 및 금전 협박을 자행해온 해킹 그룹 샤이니헌터스(ShinyHunters)가 지목되고 있다. 이들은 과거 스노우플레이크(Snowflake) 해킹 사건과도 연관이 있으며, 공격 대상 기업이 협상에 응하지 않으면 향후 데이터를 일괄 유출할 가능성도 있는 것으로 전해졌다.

[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025/ 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명

(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)