Loading...
반응형

최근 구글(Google)이 자사 Salesforce 인스턴스 중 하나에서 발생한 데이터 유출을 공개했어요.
이 사건은 단순한 시스템 해킹이 아니라, 정교한 음성 피싱(vishing)과
연계 사이버 범죄 그룹의 협업으로 이루어진 점이 특징입니다.
피해 대상은 Google Ads를 사용하는 중소기업 고객이었고,
유출된 데이터는 약 250만 건(중복 포함 가능성 있음) 규모로 추정됩니다.

📅 사건 개요

  • 발생 시점: 2025년 6월, 구글 Threat Intelligence Group(GTIG)이 탐지
  • 피해 규모: 약 2.5M 건(추정), 일부 중복 가능
  • 피해 데이터:
    • 사업체명
    • 이메일 주소·전화번호 등 연락처
    • Salesforce에 저장된 관련 메모
  • 위협 그룹: UNC6040 & ShinyHunters (일부 Scattered Spider 연계)
  • 공격 방식: Salesforce Data Loader 악용 + 음성 피싱을 통한 Connected App 승인 유도

🕵️‍♂️ 공격 흐름 상세 분석

1) 초기 접근 (Initial Access)

UNC6040은 Salesforce 계정 접근 권한을 얻기 위해, 타깃 직원에게 전화를 걸어 정상 앱 설치 요청처럼 꾸몄습니다.

  • 사회공학 기법: ‘업무 필수 앱 승인’으로 위장
  • 목표: Connected App에 고위 권한(“API Enabled”) 부여
  • 결과: Salesforce Data Loader 또는 맞춤형 Python 스크립트를 통해 대량 데이터 다운로드 가능

2) 데이터 탈취 (Data Exfiltration)

  1. Salesforce Data Loader(수정 버전) 사용
  2. TOR·Mullvad VPN 등 익명화 인프라로 연결
  3. 유출 데이터: SMB 광고 계정 연락처·메모
  4. 다운로드는 구글이 권한 차단하기 전 짧은 시간에 완료

3) 금전 요구 & 협박

  • ShinyHunters는 피해 직후 20 BTC(약 230만 달러) 요구
  • 이후 “장난이었다(for the lulz)” 주장했지만, 협박 이메일을 통한 비트코인 결제 요구는 계속됨
  • 발신 주소 예시:
    • shinycorp@tuta[.]com
    • shinygroup@tuta[.]com
  • 향후 Data Leak Site(DLS) 개설 가능성 제기 → 피해자 심리 압박

💡 공격 그룹 연계성

  • Sp1d3rHunters: ShinyHunters + Scattered Spider 협업 명칭
  • The Com: 느슨한 사이버 범죄 연합, Okta·Microsoft 365·클라우드 플랫폼 공격 경험
  • 전술 중복: TOR 기반 자동화, 제3자 계정 악용, API 권한 남용

🛡 방어 전략 (GTIG 권고 + 추가 팁)

1) 최소 권한 원칙 적용 (Least Privilege)

  • Data Loader 등 대량 추출 도구는 필요 부서·계정 한정
  • API Enabled 권한 최소화

2) Connected App 관리 강화

  • Allowlist 기반 승인제 운영
  • Customize Application 같은 고위 권한은 관리자만 부여

3) IP 제한

  • 신뢰 가능한 IP 범위 지정
  • VPN·TOR 접속 차단 규칙 적용

4) Salesforce Shield 활용

  • 트랜잭션 보안 정책 설정
  • 이상 징후 모니터링: 대량 다운로드·비정상 시간 접근 감지

5) MFA 전면 적용 & 보안 교육

  • 모든 사용자 MFA 필수화
  • MFA 피싱·우회 시나리오 교육 (예: 승인 요청 위장)

📌 우리가 배워야 할 점

이번 사건은 플랫폼 취약점이 아닌 사람을 노린 공격이었어요.

  • Salesforce나 Google Ads 같은 대형 SaaS는 기본 보안이 강하지만,
    승인 권한을 속여 얻어내면 사실상 ‘합법적 접근’이 돼버립니다.
  • 기업은 기술 방어 + 보안 인식 교육을 병행해야 합니다.
  • 위협 그룹은 장기적으로 데이터를 보관하다가 수개월 후 다시 협박할 수 있으니,
    침해 대응 후에도 지속 모니터링이 필수입니다.

📝 마무리

Google은 침해 사실을 신속히 알리고 보안 조치를 취했지만, 공격자 전술은 점점 더 정교해지고 있습니다.
“기술적 방어만으로는 부족하다”는 사실을 다시 확인시켜 준 사건이었어요.
앞으로는 사람-시스템-정책이 유기적으로 맞물리는 보안 체계를 만들어야만 이런 공격을 막을 수 있습니다.

반응형
저작자표시 동일조건 (새창열림)

'CyberSecurity > Cyber Risk Insights🔐' 카테고리의 다른 글

🔓 BitUnlocker: Windows BitLocker를 무력화한 4가지 치명적 취약점  (4) 2025.08.11
🛑 macOS 사용자를 노린 Odyssey Stealer: 가짜 CAPTCHA로 시작되는 암호화폐 지갑 탈취 캠페인  (2) 2025.08.11
🤖 GPT-5, 출시 하루 만에 뚫렸다… 스토리텔링·난독화 공격에 무력한 이유  (4) 2025.08.11
💸 "한 방에 부자 된다?" 유튜브 속 스마트 컨트랙트, 알고 보니 9억 원 넘게 털린 사기 사건  (6) 2025.08.11
🚨 “AI 인프라도 뚫린다!” – NVIDIA Triton Inference Server 치명적 취약점, RCE로 서버 완전 장악까지!  (5) 2025.08.05

티스토리툴바