구글은 GTIG(Google Threat Intelligence Group)이 지난 6월 처음 공개한 세일즈포스 데이터 탈취 공격에서 자사도 영향을 받았음을 공식 확인했다.

이는 구글이 세일즈포스를 사용하는 고객을 노린 보이스 피싱(비싱) 캠페인에 대한 6월 발표 내용을 최근 업데이트하며 공개한 내용이다. 해당 발표에 따르면, 일부 구글 고객의 정보가 유출된 사실이 뒤늦게 드러났다.

이번 공격은 구글이 UNC6040이라는 코드명으로 추적 중인 위협 그룹의 소행으로 분석됐다. 이 그룹은 세일즈포스를 침해한 뒤 옥타, 마이크로소프트 365, 구글 워크스페이스와 같은 다른 클라우드 서비스로 수평 이동하며 침해 범위를 넓히는 전략을 사용하고 있다.

구글은 “2025년 6월 구글의 기업용 세일즈포스 인스턴스 중 하나가 이번 글에서 설명한 UNC6040의 유사한 활동에 의해 침해됐다”라고 밝혔다. 해당 인스턴스는 중소기업의 연락처 정보와 관련 메모를 저장하는 데 사용됐다.

사이버보안 업체 센트라(Sentra)의 에반젤리스트 데이비드 스튜어트는 “구글에 호스팅된 데이터가 탈취 대상이 된 것은 충분히 예상 가능한 일이다. 이번 침해는 콴타스(Qantas), 판도라(Pandora)에 이어 구글까지 이어진, 세일즈포스 환경을 노린 연속적인 공격 사례다. 데이터가 집중돼 있으면서 가시성이 낮은 클라우드 SaaS 애플리케이션을 주요 표적으로 삼고 있다는 점을 보여주는 신호”라고 설명했다.

“유출된 데이터 대부분은 공개 정보”

구글은 이번 공격으로 유출된 정보가 대부분 공개된 기업 정보에 해당하기 때문에 영향은 제한적일 것으로 보인다고 평가했다. 구글은 “공격자가 탈취한 데이터는 기업 이름이나 연락처 등 기본적이고 대체로 공개된 비즈니스 정보에 국한됐다”라고 설명했다.

구글 보안팀은 침해 과정을 실시간 차단하며 데이터 탈취를 일부 제한한 것으로 나타났다. 구글은 “공격자는 제한된 시간 동안만 접근 권한을 유지했고, 그 안에서 데이터를 가져갔다는 사실이 분석을 통해 드러났다”라고 설명했다. 사실 구글은 6월 발표 때도 유사한 내용을 공개했으나, 당시에는 피해 주체가 구글이라는 점을 명시하지 않았다. 6월 발표에서는 “한 공격자가 세일즈포스에서 소량의 데이터를 나눠 탈취하는 방식을 사용했지만, 탐지 및 접근 차단 전에 전체 데이터의 약 10%만 탈취하는 데 그쳤다”라고 설명했다.

구글은 해당 공격 캠페인을 처음 공개했을 당시 자사 데이터가 침해됐다는 사실을 인지하고 있었는지는 언급하지 않았다.

실제 위협 행위자들은 이번 침해 사실을 부분적으로 인정했으며, 구글을 협박하기보다는 그냥 데이터를 유출하는 방안도 고려 중이라고 주장한 것으로 전해졌다.

협박 이어 유출 예고한 제2의 공격자

GTIG는 UNC6040의 침해 활동과 관련해, 데이터 탈취 수개월 뒤에 이뤄진 갈취 행위를 주도한 집단은 UNC6240의 소행이라고 지목했다. UNC6240은 자신들을 악명 높은 브리치포럼(BreachForums) 운영자 샤이니헌터스(ShinyHunters)라고 소개했다.

첫 발표 당시 GTIG는 브리치포럼 운영자라는 주장이 피해자에게 빠른 비트코인 결제를 유도하기 위한 심리적 압박 전략이라고 판단했다. 실제로 공격자는 72시간 이내 결제를 요구한 것으로 알려졌다.

아직 공격자 실체를 분석한 결과는 나오지 않았지만, 최근 샤이니헌터스와 접촉했다는 블리핑컴퓨터(BleepingComputer)의 보도에 따르면, 샤이니헌터스는 여러 세일즈포스 인스턴스를 침해 중이고 그중에는 시가총액 1조 달러에 달하는 기업도 포함돼 있다고 주장했다. 이 기업이 구글인지는 밝히지 않았지만, 이들로부터 탈취한 데이터를 단순히 유출해버리는 방안도 고려 중이라는 발언이 나왔다고 한다.

주목할 만한 점은 프랑스 경찰이 6월 중순 샤이니헌터스를 포함한 브리치포럼 운영자 5명을 체포했다는 보도가 있었던 상황이라는 점이다. 체포된 인물 중에는 ‘인텔브로커(IntelBroker)’도 포함돼 있었다.

샤이니헌터스가 이번 공격의 실질적인 배후로 확인된다면 보안 업계의 우려는 한층 더 커질 가능성이 높다. 이 그룹은 그간 파워스쿨(PowerSchool), 오라클 클라우드, 스노우플레이크 데이터 탈취, AT&T, 마이크로소프트의 프라이빗 깃허브 저장소 등과 관련한 고위험 침해 사건의 배후로 지속적으로 지목돼 온 사이버 공격 집단이다.
dl-itworldkorea@foundryco.com