구글 위협 인텔리전스 그룹(GTIG)은 금전적 목적으로 활동하는 사이버 위협 그룹 UNC6040이 보이스 피싱을 통해 세일즈포스(Salesforce) 인스턴스를 침해한 사례를 발표했다. 이 그룹은 유럽과 미주 지역의 다양한 산업군 기업을 대상으로 활동했으며, 기술적 취약점이 아닌, 사용자의 신뢰를 교묘히 조작하는 사회공학적 방식에 초점을 맞췄다는 점에서 주목받고 있다.

UNC6040은 IT 지원 담당자로 사칭해 피해자에게 전화를 걸고, 세일즈포스의 공식 앱이 아닌 변조된 커넥티드 앱을 설치하도록 유도했다. 이 악성 앱은 주로 세일즈포스의 ‘데이터 로더(Data Loader)’ 도구를 변형한 형태로 위장해 사용자의 의심을 피한다. 피해자가 이를 설치하면 공격자는 민감한 고객 및 비즈니스 데이터를 탈취할 수 있으며, 내부 시스템과 타 클라우드 환경으로도 침투해 추가 공격을 이어간다.

세일즈포스 자체 보안 무력화 아닌 사용자 판단 노려

공격자들은 세일즈포스의 소프트웨어적 취약점을 활용하지 않았으며, 보안 시스템을 직접 우회하지도 않았다. 대신 사용자에게 접근해 스스로 악성 앱을 설치하도록 유도하는 방식으로, 전통적인 기술 기반 보안체계를 무력화했다. 이는 최근 세일즈포스가 고객들에게 발표한 보안 지침서에 명시된 위협 유형과 일치하며, 클라우드 기반 SaaS 환경에서 사용자 행동 기반 위협 대응의 중요성을 강조하고 있다.

이번에 조사된 사례에서는 약 20개 조직이 피해를 입은 것으로 확인됐다. 공격은 수개월 전부터 시작됐으며 여전히 진행 중이다. 피해 기업들은 관광, 소매, 교육 등 다양한 산업군에 속해 있으며, 공통적으로 세일즈포스를 업무 핵심 시스템으로 사용하는 기업이었다. 공격자는 최초 침입 이후 장기간 대기한 뒤 데이터 탈취 및 갈취 행위에 착수하는 방식으로 정교하게 침투했다.

사이버 범죄 연합 생태계 연계 가능성

UNC6040은 일부 피해자에게 자신들이 ‘샤이니헌터스(ShinyHunters)’와 같은 유명 사이버 범죄 그룹과 연계되어 있다고 주장하며, 압박 수위를 높이는 방식으로 갈취 행위를 시도했다. 구글 위협 인텔리전스는 UNC6040이 사용하는 인프라, 전술(TTP)이 ‘더컴(The Com)’이라는 느슨한 사이버 범죄자 연합 생태계의 특징과 일치한다고 밝혔다. 이 연합에는 ‘스캐터드 스파이더(Scattered Spider, UNC3994)’로 불리는 다른 악성 그룹도 포함돼 있다.

또한, 공격자들은 옥타(Okta) 로그인 포털을 모방한 피싱 페이지를 제작해 사용자가 자신의 인증 정보를 입력하도록 유도했으며, 이 과정에서 다중 인증(MFA) 코드까지 입력받는 수법을 사용한 것이 확인됐다. 데이터 유출 시에는 IP 추적을 피하기 위해 익명성이 높은 뮬바드(Mullvad) VPN을 활용한 정황도 드러났다.

클라우드 기반 환경에서의 대응 강화 필요

GTIG는 UNC6040의 활동이 단순한 기술 침해가 아닌, 사용자 심리와 신뢰를 기반으로 한 복합적 사회공학 공격이라는 점을 강조했다. 특히 클라우드 SaaS 환경에서는 관리자가 아닌 일반 사용자의 실수 하나로도 기업 전체의 정보가 노출될 수 있어, 사용자 교육과 피싱 탐지 기술, 커넥티드 앱 통제 체계 강화가 필수적이다.

이번 사례는 단순한 보이스 피싱이 아닌, 클라우드 플랫폼에서 가장 보편적으로 활용되는 엔터프라이즈 SaaS 솔루션에 대한 정밀한 사전 조사가 동반된 위협이라는 점에서 중요성을 갖는다. 기업들은 정기적인 보안 점검, 비인가 앱 탐지, 커넥티드 앱 승인 체계 도입 등을 통해 사용자 행동 기반 위협에 선제적으로 대응할 필요가 있다.