구글클라우드가 미국 빅테크를 노린 사이버 공격 실태를 공개해 클라우드 보안 경각심을 높였다.

5일 구글위협인텔리전스그룹(GTIC)에 따르면 해킹 그룹 'UNC6040'이 금전적 목적으로 세일즈포스 시스템 환경을 노린 것으로 확인됐다. 이들은 IT 직원을 사칭해 사용자에게 전화를 건 뒤 데이터 접근 권한을 탈취한 것으로 파악됐다.

특히 해커는 피해자가 설정 페이지에 접속해 악성 애플리케이션을 승인하도록 유도한 것으로 확인됐다. 이 과정에서 세일즈포스 시스템과 연동된 앱이 공격자에게 직접 연결돼 고객 정보가 외부로 유출된 것이다.

보고서는 공격자가 세일즈포스의 데이터 로더 프로그램을 변조해 사용한 것으로 분서석했다. 변형된 애플리케이션은 정상 프로그램처럼 보이도록 위장돼 있었다. 사용자가 연결 코드를 입력하면 조직 시스템 환경에 자동 연결됐다. 이 과정에서 대규모 데이터가 외부로 전송됐다는 게 GTIC 분석 결과다.

이번 데이터 유출로 인한 피해는 세일즈포스에 그치지 않은 것으로 확인됐다. UNC6040은 보이스 피싱으로 탈취한 자격 증명을 활용해 옥타와 마이크로소프트 등 다른 클라우드 시스템으로도 공격 방향을 확장했다. VPN과 피싱 페이지를 운영하면서 사용자 다중 인증 정보까지 확보한 뒤 시스템 접근 범위를 늘린 것이다.

해커는 시스템 초기 침투 후 수개월이 지나서야 금전적 갈취 시도를 진행한 점도 확인됐다. 이 과정에서 유명 해킹 그룹 '샤이니헌터스'를 사칭해 피해자에게 심리적 압박을 가한 정황도 포착됐다.

이 외에도 공격자들은 다양한 침투 전략을 시도했다. 연결 애플리케이션 이름을 '마이 티켓 포털' 등으로 위장해 피해자가 의심하지 않도록 유도했다. 초기에는 소량 데이터를 수집한 뒤 전체 테이블을 대량으로 탈취하는 방식도 활용했다.

GTIG는 UNC6040의 기반 인프라와 사회공학 기법이 다른 해킹 커뮤니티 '더 컴'과 유사하다고 분석했다. 다만 이 방식이 직접적 연계보다는 유사한 온라인 커뮤니티 내 전술 공유 가능성이 큰 것으로 봤다.

보고서는 클라우드 보안의 공동 책임 원칙을 강조하며 방어 전략을 제시했다. 최소 권한 부여 원칙, 연결 애플리케이션 접근 통제, IP 기반 접근 제한, 세일즈포스 쉴드를 활용한 활동 모니터링, 다중 인증 강화 등이 핵심 조치로 제시됐다.

특히 API 접근 권한이나 '연결 애플리케이션 관리' 같은 고위험 권한은 필수 관리자에게만 부여하고, 비인가 애플리케이션 차단을 위한 화이트리스트 제도 도입이 권고됐다.

보고서는 공격자가 세일즈포스 사용자의 MFA 피로도를 노리고 사회공학 기법을 사용하는 점도 경계해야 한다고 밝혔다. 사용자는 MFA 요청에 무의식적으로 응답하지 않도록 보안 인식을 강화할 필요가 있다.

구글은 "이번 공격은 보이스 피싱이 여전히 유효한 위협 수단임을 입증한다"며 "기업 보안 체계가 사회공학에 취약하다는 점을 드러낸다"고 강조했다.