[아이티데일리] 해킹 그룹 ‘샤이니헌터스(ShinyHunters)’가 최근 연달아 발생한 기업 정보 유출 사고의 범인인 것으로 밝혀져 사이버 보안 업계의 관심을 받고 있다. 이들은 올해만 해도 시스코에 이어 구글까지 피해를 주는 데 성공했으며 그 외 아디다스, 알리안츠생명, 루이비통·디올·티파니 등 LVMH 그룹에 대한 침해도 샤이니헌터스의 소행인 것으로 확인됐다.

지난 5일(현지시각) 구글은 자사가 사용하는 클라우드 기반 고객관계관리(CRM) 소프트웨어인 세일즈포스(Salesforce)의 인스턴스 중 하나가 위협 그룹 UNC6040의 공격에 피해를 당했다고 인정했다. 지난 6월 초 구글은 UNC6040의 활동에 대한 내용을 자사 위협 인텔리전스 블로그에서 다룬 바 있는데, 8월 5일자로 이 같은 자사 침해 내용을 추가로 업데이트한 것이다. 

유출된 정보는 중소기업 고객의 연락처와 관련 메모로, 기업명과 연락처 등을 포함하지만 구글은 “기본적이고 대부분 공개된 비즈니스 정보”라고 해명했다. 다만 그러면서도 정확한 피해 규모는 공개하지 않았으며, 몸값 요구가 있었는지도 불분명한 상태인 것으로 알려졌다.

보이스피싱으로 세일즈포스 접근 권한 획득, 고객 데이터 대량 탈취

구글 위협 인텔리전스 그룹은 UNC6040이 협박 과정에서 자신들을 ‘샤이니헌터스’로 칭한다고 밝혔다. 분석 내용을 살펴보면 이들의 공격 방식은 얼핏 단순한 수준에서 시작하는 것 같지만, 사실은 매우 효과적이고 고도화된 것으로 보인다.

공격자들은 기업의 IT 담당 직원인 척 전화를 걸어 지사 소속 직원들을 속이는 보이스피싱으로 작업을 시작했다. 그리고 세일즈포스의 정식 도구인 ‘데이터 로더(Data Loader)’를 위장한 악성 소프트웨어를 설치하도록 하고, 피해자가 8자리 연결 코드를 직접 입력하게 유도하며 세일즈포스 환경에 광범위한 접근 권한을 획득해 고객 데이터를 대량 탈취했다. 일부 사례에서는 IT 관련 요청(Ticket)들을 처리하는 ‘마이 티켓 포털(My Ticket Portal)’ 등의 이름으로 위장한 앱을 사용해 신뢰성을 높이기도 했다.

앞서 7월 말에는 시스코도 비슷한 과정을 통해 자사 고객 정보가 유출됐다고 발표했다. 시스코 역시 구글과 마찬가지로 공격자가 IT 담당자를 사칭, 직원 대상의 보이스피싱을 통해 세일즈포스 시스템에 무단 접근한 것으로 확인됐다. 이를 통해 고객 이름, 조직명, 주소, 이메일 주소, 전화번호 등 계정 관련 메타데이터가 탈취된 것으로 파악됐다.

가장 최근에는 항공사 에어프랑스-KLM 그룹도 샤이니헌터스의 피해자로 추가됐다. 지난 6일(현지시각) 에어프랑스-KLM은 고객 서비스 플랫폼에 문의한 승객들의 이름, 이메일 주소, 전화번호, 최근 거래, 마일리지 프로그램 관련 정보 등이 유출됐다고 발표했다. 마찬가지로 세일즈포스 인스턴스를 통해 공격에 성공한 것으로 확인됐다.

수 년간 다양한 분야 기업 노리고 연쇄 공격 중

샤이니헌터스의 피해 범위는 최근 알려진 구글과 시스코, 에어프랑스-KLM 그룹에만 그치지 않는다. 미국의 보안 전문 매체인 블리핑컴퓨터에 따르면 최근 몇 달간 있었던 아디다스, 콴타스항공, 알리안츠생명, LVMH 계열사인 루이비통·디올·티파니 등에 대한 연쇄 공격이 모두 샤이니헌터스의 소행인 것으로 추정되고 있다.

샤이니헌터스는 이미 2020년 마이크로소프트 산하 ‘깃허브(GitHub)’에 대한 계정 공격과 2021년 AT&T 고객 데이터 해킹 사건으로 주목받은 바 있으며, 이후 2024년에는 스노우플레이크 데이터 탈취 공격을 통해 미국의 초대형 콘서트·스포츠·공연 티켓 판매회사인 티켓마스터를 피해자로 추가했다. 이들은 티켓마스터로부터 5억 6천만 명의 개인정보를 탈취하고 50만 달러에 판매한다고 홍보했다. 같은해 스페인 산탄데르은행에 대해서도 스노우플레이크를 통해 3천만 건의 고객 정보를 탈취, 협박을 이어갔다.

그외에도 샤이니헌터스는 지난 몇 년간 다양한 분야에서 피해자들을 만들었다. 대표적으로 미국 교육 기술 기업인 파워스쿨(PowerSchool), 데이터베이스 및 클라우드 서비스 기업인 오라클 클라우드, PDF 편집 및 뷰어 프로그램을 제공하는 니트로PDF, 영미권 인터넷 소설 아카이브인 왓패드(wattpad), 수학 문제 앱 기업 매스웨이(Mathway) 등이 있다.

샤이니헌터스는 해킹 데이터를 다크웹을 통해 최대 10만 달러에 판매한 후, 더 이상 수익성이 없다고 판단되면 업계 내 명성을 위해 데이터를 공개해 버리는 전략을 사용하고 있다. 실제 이들은 최근 18개 기업에서 탈취한 3억 8,600만 건 규모의 사용자 데이터를 해킹 포럼에서 무료로 배포했다. 여기에는 이름, 이메일, 전화번호, 생년월일, 주소 등 정보가 포함돼 피해 개인을 상대로 한 피싱, 스팸, 신원도용 등 추가 사이버 범죄가 우려되는 상황이다.

국내 보안 기업 연구소장은 “샤이니헌터스는 작년 스노우플레이크를 사용하는 기업을 노렸고, 올해는 세일즈포스 이용 기업들을 노리고 있다. 특히 기술적 취약점을 노린 것이 아니라, 사회공학적 기법을 사용해 정상적 인증 절차를 우회한다는 점이 특징적인데, 영미권 위주라 아직은 국내에 유사 피해가 없어 다행스럽다”면서 “다만 스노우플레이크나 세일즈포스 솔루션을 사용하는 국내 기업들이 또 다른 사회공학적 방식으로 피싱에 당해 피해를 받지 않도록 데이터 접근 권한을 관리하고, 신뢰할 수 없는 IP는 차단하며, 추가적 MFA를 의무로 적용하는 등 선제 조치를 취할 필요가 있다”고 조언했다.