샤이니헌터스(ShinyHunters) CRM 사이버 공격
최근 전 세계를 강타한 샤이니헌터스(ShinyHunters)의 CRM 사이버 공격은 구글, 시스코, 루이비통, 판도라 등 글로벌 대기업들을 포함한 수많은 기업에 막대한 피해를 입혔습니다. 이 공격은 단순한 기술적 해킹을 넘어, 기업 보안의 가장 근본적인 약점인 ‘인간’의 취약성을 노렸다는 점에서 특히 주목받고 있습니다. 샤이니헌터스(ShinyHunters)의 CRM 사이버 공격
샤이니헌터스(ShinyHunters)의 CRM 사이버 공격
샤이니헌터스는 어떻게 해킹했나요?
샤이니헌터스 공격은 세일즈포스(Salesforce)의 CRM(Customer Relationship Management, 고객 관계 관리) 시스템을 사용하는 기업들을 대상으로 했습니다. 주목할 점은 공격자가 세일즈포스 플랫폼 자체의 제로데이 취약점(zero-day vulnerability)을 이용한 것이 아니라는 사실입니다. 대신, 해커는 정교한 사회 공학적 기법(Social Engineering)을 동원해 내부 직원을 속였습니다.
- 음성 피싱: 해커는 기업의 IT 지원팀 직원인 것처럼 가장하여 타깃 직원의 핸드폰으로 전화를 겁니다.
- 교묘한 속임수: “세일즈포스 시스템에 긴급한 보안 업데이트가 필요합니다. 본인 확인을 위해 8자리 코드를 입력해주세요”와 같은 허위 정보를 제공하며 직원을 속입니다.
- 악성 앱 승인 유도: 해커가 제공하는 8자리 코드는 사실 악성 커넥티드 앱(Connected App)을 승인하는 데 사용되는 인증 코드입니다. 직원은 해커의 지시에 따라 해당 코드를 세일즈포스 계정 설정 페이지에 입력합니다.
이 과정에서 직원이 입력한 코드는 해커가 사전에 만들어둔 악성 앱에 대해 OAuth(Open Authorization) 기반의 접근 권한을 부여하게 됩니다. 일단 승인이 완료되면, 해커는 마치 합법적인 외부 앱처럼 세일즈포스 시스템 내의 데이터에 영구적인 접근 권한을 얻게 됩니다. 이로 인해 고객 데이터, 영업 정보, 민감한 기업 문서 등 핵심 자산이 해커의 손에 넘어갔습니다.
막대한 피해와 그 시사점
이번 공격은 기업 보안 시스템의 심각한 허점을 드러냈습니다.
- 다중 인증(MFA)의 무력화: 일반적으로 강력한 보안 수단으로 여겨지는 MFA도 직원이 직접 악성 앱에 대한 접근을 승인하는 순간 무용지물이 됩니다. 해커는 MFA 인증 과정을 우회하는 것이 아니라, MFA의 최종 승인 주체인 ‘인간’을 속여 시스템에 침투했습니다.
- 고객 데이터 및 IP(지적 재산) 유출: 탈취된 데이터에는 고객 개인정보, 내부 영업 데이터, 심지어 기업의 중요한 지적 재산까지 포함되어 있었습니다. 샤이니헌터스는 이 데이터를 다크웹에 판매하거나, 기업에 거액의 비트코인을 요구하며 협박했습니다.
- 협력사 및 공급망 공격으로의 확산 가능성: 이번 공격은 CRM 솔루션이라는 특정 공급망을 통해 수많은 기업이 동시에 피해를 입을 수 있다는 것을 보여주었습니다. 이는 특정 소프트웨어 또는 솔루션의 취약점을 노리는 공급망 공격(Supply Chain Attack)의 새로운 형태를 제시합니다.
샤이니헌터스 사이버 공격의 영향
이번 샤이니헌터스 공격은 단순히 특정 기업의 문제가 아닌, 클라우드 기반 CRM 솔루션을 사용하는 전 세계 기업들이 직면한 새로운 보안 위협을 상징합니다. 세일즈포스는 전 세계 B2B(기업 간 거래) 시장에서 압도적인 점유율을 차지하고 있어, 단일 플랫폼의 취약점이 수많은 기업의 보안 위기로 직결될 수 있음을 증명했습니다.
시장 전문가들은 이번 사태로 인해 기업들이 클라우드 솔루션 도입 시 보안 감사(Security Audit)를 더욱 강화할 것으로 예측하고 있습니다. 또한, 기존의 방화벽이나 안티바이러스 솔루션만으로는 사이버 공격을 막을 수 없다는 인식이 확산되면서, 사용자 행동 분석(User Behavior Analytics, UBA) 및 인공지능 기반의 위협 탐지 시스템에 대한 투자가 더욱 늘어날 전망입니다.
샤이니헌터스 공격은 사이버 보안이 이제 기술팀만의 문제가 아닌, 최고 경영진이 직접 챙겨야 할 기업의 핵심 리스크로 부상했음을 보여줍니다. 기업들은 보안 시스템 강화와 더불어 직원 개개인의 보안 의식을 높이는 데 총력을 기울여야 합니다.
기업은 이러한 공격을 막기 위해 무엇을 해야 하나요?
샤이니헌터스의 공격은 기업이 더 이상 기술적 방어책에만 의존해서는 안 된다는 강력한 경고를 던집니다. 이제 기업 보안의 패러다임은 기술적 시스템의 견고함과 함께 ‘사람’에 대한 보안 인식을 강화하는 방향으로 전환되어야 합니다. 샤이니헌터스(ShinyHunters)의 CRM 사이버 공격
- 정기적이고 실질적인 보안 교육: 직원들이 음성 피싱, 스피어 피싱 등 사회 공학적 공격의 유형과 위험성을 명확히 인지하도록 정기적인 모의 훈련 및 교육을 실시해야 합니다.
- 제로 트러스트(Zero Trust) 아키텍처 도입: 모든 사용자, 기기, 네트워크에 대해 ‘신뢰하지 않는다’는 원칙을 적용해야 합니다. 특히 CRM과 같은 민감한 데이터에 접근하는 경우, 모든 API 호출 및 앱 승인에 대해 엄격한 검증 절차를 도입해야 합니다.
- 접근 권한 관리(IAM) 강화: 커넥티드 앱 승인 권한을 소수의 신뢰할 수 있는 관리자에게만 부여하고, 불필요한 API 접근 권한은 최소한으로 제한해야 합니다. 또한, API 접근 로그를 실시간으로 모니터링하여 비정상적인 활동을 즉시 탐지하고 차단하는 시스템을 구축해야 합니다.
이번 사태는 기술적 방어막이 완벽하더라도, 결국 그 시스템을 운용하는 ‘인간’이 보안의 가장 취약한 고리가 될 수 있음을 극명하게 보여주었습니다. 기업은 이제 기술과 사람, 두 가지 측면에서 모두 철저한 보안 전략을 수립해야 할 때입니다.
암호 기술 기반 보안전문회사 펜타시큐리티는 이러한 위협에 대한 선제적 대응을 강조하고 있습니다. 데이터 암호화, 웹 방화벽, 그리고 API 보안 솔루션, 클라우드 보안 등을 통해 기업의 핵심 자산을 안전하게 보호하는 방안인 제로트러스트를 제시하며, 기업들의 데이터 보안 강화에 기여하고 있습니다. 웹 방화벽 WAPPLES, 암호 플랫폼 D.AMO 그리고 인증 보안 플랫폼 iSIGN과 클라우드 보안 SaaS 플랫폼 Cloudbric을 통해 기업에서 필요한 전 영역에 최적화된 보안 환경을 구축할 수 있습니다.
👉 웹 애플리케이션 및 API 보안 솔루션 WAPPLES 자세히 알아보기
👉 암호 플랫폼 D.AMO 자세히 알아보기
👉 인증 보안 플랫폼 iSIGN 자세히 알아보기
👉 클라우드 보안 SaaS 플랫폼 Cloudbric 자세히 알아보기