해커조직 샤이니헌터스와 스캐터드 스파이더, 자신들 소행이라고 주장
대형 보험사 알리안츠 생명(Allianz Life)의 고객과 사업 파트너 정보가 대규모로 유출됐다. 이번 사건은 약 280만 건에 달하는 민감 정보가 포함돼 있으며, 최근 전 세계 기업을 겨냥해 이어지고 있는 세일즈포스(Salesforce) 표적 데이터 절도 캠페인의 일부로 파악됐다.
해커가 공개한 데이터에는 세일즈포스의 ‘Accounts’와 ‘Contacts’ 테이블이 통째로 담겨 있었다. 여기에는 고객과 자산관리사, 중개인, 재정 상담사 등 사업 파트너의 이름, 주소, 이메일, 전화번호, 생년월일, 세금 식별번호뿐 아니라 전문 자격 정보, 소속사, 상품 승인 이력, 마케팅 분류까지 고스란히 포함돼 있다. 일부 피해자는 해당 정보가 실제 자신과 일치한다고 확인했다.
알리안츠 생명은 현재 조사가 진행 중이라며 유출에 대한 구체적인 답변을 피했다. 그러나 지난 7월 16일, 제3자 클라우드 기반 CRM에서 “대다수”의 140만 고객 정보가 유출됐다고 이미 밝힌 바 있다. 당시 CRM 제공업체명은 공개하지 않았지만, 복수의 보안 전문 매체는 이를 세일즈포스 환경에서 발생한 사건과 연결시켰다.
보안 업계 분석에 따르면 이번 사건은 올해 초부터 이어져온 세일즈포스 표적 공격 방식과 동일하다. 해커들은 피싱 등을 통해 직원들에게 악성 OAuth 애플리케이션을 세일즈포스 인스턴스에 연동하게 했다. 이 과정에서 합법적으로 보이도록 위장한 ‘세일즈포스 데이터 로더(Data Loader)’ 애플리케이션이 사용됐다. 일단 연결이 성사되면 해커는 CRM에서 데이터를 대량으로 다운로드한 뒤, ‘샤이니헌터스(ShinyHunters)’ 명의로 금전을 요구하는 이메일을 보냈다.
세일즈포스는 이번 사건과 관련해 자사 플랫폼 자체 보안은 침해되지 않았다고 강조하며, 다중인증(MFA) 강화, 최소 권한 부여, 연결 앱 정기 점검, IP 허용 목록 설정, 쉴드(Shield) 기반 모니터링 등을 고객사에 권고했다.
한편 지난 주말, ‘샤이니헌터스’와 ‘스캐터드 스파이더(Scattered Spider)’, ‘랩서스$(Lapsus$)’라는 이름을 합친 ‘ScatteredLapsuSp1d3rHunters’라는 텔레그램 채널이 새롭게 등장했다. 이 채널에서 해커들은 알리안츠 생명을 비롯해 인터넷 아카이브(Internet Archive), 피어슨(Pearson), 코인베이스(Coinbase) 등의 해킹을 자신들의 소행이라고 주장하며, 보안 연구원과 언론, 수사당국을 조롱했다. 다만 이들의 주장 모두가 검증된 것은 아니다.
샤이니헌터스 측은 스캐터드 스파이더와 자신들이 “같은 조직”이라고 주장하며, 스캐터드 스파이더가 초기 침투를 맡고 자신들이 데이터 탈취와 유출을 담당한다고 말했다. 구글 위협 인텔리전스는 이를 침투 담당 그룹(UNC6040)과 협박 활동 그룹(UNC6240)으로 나눠 분석하고 있다.
이번 세일즈포스 표적 캠페인은 알리안츠 생명 외에도 다수의 글로벌 대기업을 노린 것으로 드러났다. 구글은 지난 6월, 자사 세일즈포스 인스턴스 중 하나가 침해돼 일부 비즈니스 연락처 정보가 유출됐다고 확인했다. 구글은 해당 사실을 피해자들에게 통보 중이라고 밝혔다.
이번 사건으로 알리안츠 생명 고객과 파트너사는 신원 도용, 맞춤형 피싱, 사기 시도 등에 노출될 위험이 커졌다. 보안 전문가들은 세일즈포스 같은 클라우드 CRM을 사용하는 기업은 연결 애플리케이션 권한을 도메인 관리자급으로 엄격하게 관리하고, 대량 데이터 추출과 같은 비정상 행위를 실시간 모니터링해야 한다고 강조했다.
