미국 최대 클라우드기반 CRM 기업 ‘세일즈포스(Salesforce)’와 관련된 앱의 변형된 버전을 설치하도록 직원들을 교묘하게 속이는 해커들이 현재 유럽과 아메리카의 기업들을 표적으로 삼고 있습니다. 구글은 이를 확인하고, 이런 방식으로 해커들이 엄청난 양의 데이터를 도용하고, 다른 기업의 클라우드 서비스에 접근하여 해당 기업들을 금전적으로 협박한다고 밝혔습니다.
구글 위협 정보 그룹(Google Threat Intelligence Group)은 세일즈포스의 ‘데이터 로더(Data Loader)’ 라는 도구의 변형된 버전을 설치하도록 직원들을 교묘하게 속인 UNC6040이라는 이름의 해커 그룹을 추적해왔다고 합니다. 데이터 로더는 대량의 데이터를 세일즈포스 환경에 가져오는 데 사용되는 고유한 도구입니다.
해커들은 음성 통화를 이용해서 직원들을 속여 세일즈포스 연결 앱 설정 페이지로 유입시키며, 비인가되고 변형된 버전의 앱을 승인하도록 합니다. 이 앱은 데이터 로더를 흉내낸 것으로, 해커들이 만든 것입니다.
해당 앱을 설치한 직원의 경우, 해커들은 “현저히 높은 수준의 접근성을 얻게 되며, 손상된 세일즈포스 고객 환경에서 중요한 정보를 직접적으로 쿼리하거나 추출할 수 있는 능력”을 갖게 됩니다.
또한, 해커들이 고객의 네트워크 내에서 자유롭게 움직일 수 있게 되어 다른 클라우드 서비스와 기업 내부 네트워크에 대한 공격까지 가능해지는 것입니다.
구글 대변인은 이 UNC6040 캠페인으로 인해 약 20개 조직이 영향을 받았으며, 그 중 일부 조직에서는 실제로 데이터 유출이 발생했다고 전했습니다.
반면 세일즈포스 대변인은 이 문제가 세일즈포스 플랫폼 자체의 취약점에서 비롯된 것이 아니라고 밝혔습니다. 직원들을 속이기 위해 사용된 음성 통화는 개별 사용자의 사이버 보안 인식과 모범 사례에서의 틈새를 악용하는 대상지향적인 소셜 엔지니어링 사기라고 설명했습니다.
세일즈포스는 이러한 음성 통화 기반의 피싱 공격(vishing)과 데이터 로더의 변형 버전을 악용하는 해커들에 대해 고객들에게 주의하라는 경고를 2025년 3월에 블로그 포스트를 통해 전달하기도 했습니다.
급변하는 디지털 환경에서 신종 사이버 범죄가 잇따르면서, 기업들은 물론 개인 사용자들까지 그 위협에 처하고 있습니다. 웹 보안과 개인정보 보호에 대한 관심이 한층 더 필요한 시점입니다. 우리 모두가 각자의 온라인 환경을 안전하게 유지하기 위해서는 지속적인 교육과 보다 체계적인 보안 시스템 구축이 중요합니다.
