[아이티데일리] 글로벌 인사관리(HR) 소프트웨어 기업 워크데이(Workday)가 최근 사이버 공격으로 인해 데이터가 유출되는 사고를 겪었다고 공식 인정했다. 워크데이는 지난 18일 자사 블로그를 통해 “제3자 CRM(고객관계관리) 플랫폼을 통해 일부 정보가 탈취당했다”고 밝혔는데, 해당 CRM 플랫폼 명이 무엇인지는 정확히 언급하지 않았다. 그러나 업계는 워크데이가 당한 수법과 최근의 피해 동향 등을 종합할 때, 이번 사건 역시 사이버 범죄 그룹 ‘샤이니헌터스(ShinyHunters)’의 대규모 세일즈포스 기반 공격 캠페인 중 하나라고 분석하고 있다.

워크데이는 약 1만 1천여 개의 기업 고객사를 보유하고 있으며, 포춘 500대 기업의 60% 이상이 서비스를 이용하고 있는 대형 HR 솔루션 업체다. 회사는 이달 6일 공격을 발견했지만 조사를 거쳐 2주 가까이 지난 후에야 피해 사실을 인정했다. 발표에 따르면 공격자들은 소셜 엔지니어링 기법을 통해 이름, 이메일 주소, 전화번호 등 비즈니스 연락처 정보를 탈취한 것으로 확인됐다.

사이버 보안 업계는 이번 워크데이 사건 역시 최근 샤이니헌터스가 피해자를 속속 늘려나가고 있는 세일즈포스 기반 공격 캠페인의 일부라고 보고 있다. 공격에서 확인되는 보이스피싱 기반의 소셜 엔지니어링 기법이 확실한 증거라는 게 전문가들의 분석이다. 구글, 시스코, 아디다스, 에어프랑스-KLM 그룹, 콴타스항공, 알리안츠생명, 루이비통, 디올, 티파니, 샤넬 등 그간 연쇄적으로 피해를 당한 기업들과 동일한 공격 과정을 겪었다는 것이다. 

샤이니헌터스는 지난해 초부터 보이스 피싱 기법을 기반으로 세일즈포스 환경에 침입하는 공격을 지속적으로 전개해 왔다. IT 지원팀을 사칭해 직원에게 전화를 걸어 오픈 인증(OAuth) 앱 승인을 유도하는 방식이다. 세일즈포스의 정식 데이터 로더 도구를 모방한 악성 앱을 ‘마이 티켓 포털(My Ticket Portal)’ 등의 이름으로 위장하는 동시에, 이 악성 앱에 세일즈포스 데이터를 공유할 수 있도록 사용자가 로그인 페이지(https://login.salesforce.com/setup/connect)에서 8자리 디바이스 코드를 입력하도록 유도하는 수법이다. 

이러한 수법은 유명 공격 그룹인 ‘스캐터드 스파이더(Scattered Spider)’가 배후로 의심되는 다른 공격 사례에서도 확인되고 있다. 그런 점에서 샤이니헌터스와 스캐터드 스파이더 두 공격 그룹의 일부 구성원이 겹치거나, 긴밀하게는 아니지만 다소간의 협력을 하는 관계일 수 있다는 분석이 나오고 있다. 관련해 미국의 사이버 위협 인텔리전스 업체 릴리아퀘스트는 ‘Sp1d3rHunters’라는 별칭으로 활동하는 사용자를 통해 두 조직 간의 연계성을 확인했다는 보고를 하기도 했다.

구글 위협 인텔리전스 그룹은 지난 6월 초 블로그를 통해 “자신들을 ‘샤이니헌터스’라고 칭하는 UNC6040이라는 그룹이 이러한 캠페인의 초기 침입을 담당하며, 이어지는 갈취 활동은 UNC6240이라는 그룹이 전개한다”면서 분업 체계를 분석한 결과를 발표했다. 그리고 8월 초 해당 블로그 게시글에 “구글 역시 이러한 공격의 피해자가 됐다”고 인정하는 글이 수정 업데이트됐다. 결국 구글마저 샤이니헌터스의 피해자 명단에 이름을 올린 것으로, 계속해서 이어지는 보이스피싱 및 세일즈포스 기반 공격에 대한 심각성이 대두된 상황이다.

전문가들은 일련의 공격에서 사용된 수법이 세일즈포스의 소프트웨어 취약점을 악용한 것이 아니라, ‘사람’을 겨냥한 진화된 사회공학적 공격이라는 점에서 경각심을 가져야 한다고 조언한다. 특히 공격자들은 다중 인증을 우회하는 장기간 유효한 오픈 인증(OAuth) 토큰을 획득해 지속적인 접근 권한을 확보하는 신종 수법을 구사하고 있다. 또한 정당한 세일즈포스 기능을 악용해 대용량 데이터를 은밀하게 추출할 수 있는 환경을 구축한 후, 수개월에 걸쳐 갈취 활동을 전개하는 것으로 알려졌다.

최신 피해자로 이름을 올리게 된 워크데이 측은 “고객의 핵심 시스템이나 민감한 HR 데이터에는 접근하지 못했다”고 공식 발표했지만, 그러면서도 유출된 연락처 정보가 향후 피싱 공격이나 사회공학적 사기에 악용될 가능성에 대한 경고도 함께 했다. 회사는 “워크데이는 절대로 전화로 비밀번호나 개인정보를 요청하지 않는다”며 고객들에게 주의를 당부했다.

계속해서 공격의 통로가 되고 있는 세일즈포스 역시 이미 지난 3월 자사 블로그를 통해 이러한 사회공학적 공격에 대해 경고한 바 있다. 그러면서 고객들에게 다중 인증(MFA) 활성화, 접근 권한 제한, IP 주소 제한 등의 보안 조치를 강화할 것을 권고했다. 세일즈포스 측은 “이어지고 있는 공격들은 플랫폼 자체의 취약점과는 무관하며, 개별 사용자의 사이버보안 인식 격차를 악용한 표적형 사회공학 공격”이라고 강조하고 있다.

한 국내 보안 기업 대표는 “샤이니헌터스는 데이터 유출을 무기 삼아 갈취와 협박을 동시에 전개하는 심리전을 펼친다”면서 “사용 중인 제3자(3rd Party) 소프트웨어에 대한 보안 관리 감독을 확인해 조치가 필요한 부분은 강화하고, 직원 대상의 사회공학적 공격에 대한 예방 교육을 정기적으로 실시하는 등의 조치가 필요하다. 특히 현재 가장 취약한 부분이 IT 관련 문의를 처리하는 조직의 업무 프로세스라는 점을 유념해야 한다. 세일즈포스를 사용하는 국내외 기업들의 각별한 주의가 필요한 시점”이라고 강조했다.