구글 “보이스피싱 활용한 세일즈포스 해킹 급증…유럽·미주 기업 노려”

(씨넷코리아=김태훈 기자) 구글 위협 인텔리전스 그룹(GTIG)이 최근 유럽과 미주 지역에서 기업 임직원을 대상으로 한 보이스피싱 공격 사례를 공개했다. 이 공격은 ‘UNC6040’이라는 위협 그룹이 세일즈포스(Salesforce) 플랫폼을 겨냥해 변조된 커넥티드 앱 설치를 유도, 시스템에 침투해 중요한 데이터를 빼내는 수법으로 진행되고 있다.

GTIG에 따르면, 공격자들은 세일즈포스의 취약점을 직접 노리는 대신, IT 지원 담당자를 사칭해 전화를 걸어 변조된 앱 설치를 설득하는 방식을 택했다. 이 앱들은 세일즈포스의 공식 데이터 로더(Data Loader) 기능을 흉내 내어 민감한 정보 접근과 기업 내부 네트워크로의 확장을 가능케 한다.

이번 공격은 관광, 소매, 교육 등 다양한 산업 분야에서 발견됐으며, 약 20여 개 조직이 피해를 입은 것으로 확인됐다. 특히 UNC6040은 침투 후 곧바로 갈취 행위를 벌이지 않고 몇 달간 데이터를 활용해 수익을 창출하는 등 치밀한 전략을 구사하고 있다.

또한, 피해자들에게는 유명 사이버 범죄 조직 ‘샤이니헌터스(ShinyHunters)’와 연계됐다는 협박을 하면서 압박 수위를 높이는 것으로 알려졌다. 구글은 UNC6040의 행위가 느슨한 범죄자 연합체인 ‘더컴(The Com)’과 연관성이 깊다고 평가했다.

이와 함께 UNC6040은 액세스 관리 플랫폼 ‘옥타(Okta)’를 사칭한 피싱 페이지를 운영하며, 다중 인증(MFA) 코드까지 직접 입력하도록 속이는 수법도 확인됐다. 탈취한 데이터는 VPN을 통해 익명화하며 추적을 어렵게 만드는 등 고도화된 해킹 수법을 사용하고 있다.

구글 위협 인텔리전스 그룹은 “최종 사용자의 신뢰를 악용하는 기회주의적 공격에 각별한 주의가 필요하다”며 “기업들은 직원 대상 보안 교육을 강화하고, 의심스러운 연락에 대한 즉각적인 대응 체계를 마련해야 한다”고 당부했다.