전화 한 통의 대가: 보이스피싱부터 데이터 갈취까지

해당 블로그의 원문은 2025년 6월 5일 Google Cloud 블로그(영문)에 게재되었습니다. 

업데이트 (8월 5일): 지난 6월, 구글의 기업 Salesforce 인스턴스 중 하나가 이 게시물에 설명된 것과 유사한 UNC6040 활동의 영향을 받았습니다. 구글은 해당 활동에 대응하여 영향 분석을 수행하고 완화 조치를 시작했습니다. 이 인스턴스는 중소기업의 연락처 정보 및 관련 메모를 저장하는 데 사용되었습니다. 분석 결과, 공격자가 접근이 차단되기 전 짧은 시간 동안 데이터를 검색한 것으로 나타났습니다. 공격자가 검색한 데이터는 사업체명 및 연락처 정보와 같이 기본적이고 대부분 공개적으로 이용 가능한 사업 정보로 한정되었습니다.

UNC6240

구글 위협 인텔리전스 그룹(GTIG)은 UNC6040 침입 후 발생하는 공갈(extortion) 활동을 UNC6240으로 추적하고 있으며, 이는 초기 데이터 도난 이후 몇 달이 지나서도 발생합니다. 이 공갈 활동에는 피해 조직의 직원에게 전화나 이메일을 보내 72시간 이내에 비트코인으로 결제할 것을 요구하는 내용이 포함됩니다. 이러한 소통 과정에서 UNC6240은 지속적으로 자신이 위협 그룹 'ShinyHunters'라고 주장해왔습니다. 

또한, 'ShinyHunters'라는 브랜드를 사용하는 위협 행위자들이 데이터 유출 사이트(DLS)를 개설하여 공갈 전술을 확대할 준비를 하고 있다고 생각됩니다. 이러한 새로운 전술은 최근의 UNC6040 Salesforce 관련 데이터 유출과 관련된 피해자들을 포함하여 피해자들에게 압박을 가하기 위한 의도로 보입니다. 구글은 이 행위자를 계속 모니터링하고 있으며, 적절한 업데이트를 제공할 것입니다.

UNC6240 공갈 이메일 발신 주소

• shinycorp@tuta[.]com
• shinygroup@tuta[.]com

UNC6040 (진화하는 TTPs)

GTIG는 UNC6040의 TTP(전술, 기술, 절차)가 진화한 것을 관찰했습니다. 이 그룹은 처음에는 Salesforce Dataloader 애플리케이션에 의존했지만, 이후 맞춤형 애플리케이션을 사용하는 쪽으로 전환했습니다. 이러한 맞춤형 애플리케이션은 일반적으로 Dataloader 앱과 유사한 기능을 수행하는 Python 스크립트입니다. 업데이트된 공격 체인에는 공격자가 Mullvad VPN IP 또는 TOR를 사용하면서 시작하는 음성 통화를 통해 피해자를 등록시키는 과정이 포함됩니다. 이 초기 접촉 이후, 데이터 수집은 TOR IP를 통해 자동화되는데, 이러한 변화는 공격자 식별 및 추적 노력을 더욱 복잡하게 만듭니다. GTIG는 공격자가 웹메일 이메일을 사용하여 Salesforce 시험 계정을 만들던 방식에서, 관련 없는 조직의 해킹된 계정을 사용하여 악성 애플리케이션을 등록하는 방식으로 전환한 것을 관찰했습니다. 

서론

Google Threat Intelligence Group(GTIG)는 대규모 데이터 탈취 및 후속 협박을 위해 조직의 Salesforce 인스턴스를 손상시키도록 특별히 설계된 보이스 피싱(비싱) 캠페인을 전문으로 하는, 금전적 동기를 가진 위협 클러스터인 UNC6040을 추적하고 있습니다. 지난 몇 달 동안 UNC6040은 운영자들이 설득력 있는 전화 기반 사회 공학적 접근을 통해 IT 지원 인력을 사칭함으로써 네트워크를 침해하는 데 반복적으로 성공했습니다. 이 접근 방식은 다국적 기업의 영어권 지점 직원들을 속여 공격자에게 접근 권한을 부여하거나 민감한 자격 증명을 공유하도록 유도하는 데 특히 효과적인 것으로 입증되었으며, 궁극적으로 조직의 Salesforce 데이터 절취를 용이하게 합니다. 관찰된 모든 사례에서 공격자는 Salesforce에 내재된 취약점을 악용하는 것이 아니라 최종 사용자를 조종하는 데 의존했습니다.

UNC6040의 주요 전술은 피해자를 속여 악성 커넥티드 앱을 조직의 Salesforce 포털에 승인하도록 하는 것입니다. 이 애플리케이션은 종종 Salesforce가 승인하지 않은, Salesforce의 Data Loader의 수정된 버전입니다. 비싱 통화 중 공격자는 피해자에게 Salesforce의 커넥티드 앱 설정 페이지를 방문하여 합법적인 버전과 이름이나 브랜드가 다른 Data Loader 앱 버전을 승인하도록 안내합니다. 이 단계는 의도치 않게 UNC6040에게 손상된 Salesforce 고객 환경에서 직접 민감한 정보에 접근하고, 쿼리하고, 빼내는 상당한 기능을 부여합니다. 악성 커넥티드 앱을 통해 Data Loader 기능을 악용하는 이 방법은 이러한 위협으로부터 Salesforce 환경을 보호하기 위한 Salesforce의 지침에 상세히 설명된 최근 관찰 내용과 일치합니다. 

UNC6040

GTIG는 현재 조사 중인 활동의 상당 부분을 UNC6040으로 추적하고 있습니다. UNC6040은 보이스 피싱 사회 공학을 통해 피해자 네트워크에 접근하는 금전적 동기를 가진 위협 클러스터입니다. 접근 권한을 획득한 UNC6040은 Salesforce의 Data Loader 애플리케이션을 사용하여 피해자의 Salesforce 환경에서 즉시 데이터를 빼내는 것으로 관찰되었습니다. 이 초기 데이터 도난 이후, UNC6040은 자격 증명 수집 또는 비싱을 통해 획득한 최종 사용자 자격 증명을 활용하여 피해자 네트워크를 통해 횡적으로 이동하고, Okta 및 Microsoft 365와 같은 다른 클라우드 플랫폼의 피해자 계정에서 데이터에 접근하고 빼냈습니다.

공격자 인프라

UNC6040은 Okta 피싱 패널을 호스팅하는 Salesforce 애플리케이션에 접근하기 위한 인프라를 활용했습니다. 이 패널은 사회 공학적 통화 중에 피해자를 속여 자신의 휴대폰이나 회사 컴퓨터에서 방문하도록 유도하는 데 사용되었습니다. 이러한 상호 작용에서 UNC6040은 데이터 유출을 용이하게 하기 위해 사용자 자격 증명 및 다중 인증 코드를 직접 요청하여 Salesforce Data Loader 애플리케이션을 인증하고 추가했습니다.

피싱 인프라와 함께 UNC6040은 주로 Mullvad VPN IP 주소를 사용하여 피해자의 Salesforce 환경 및 피해자 네트워크의 다른 서비스에 접근하고 데이터 유출을 수행했습니다.

"The Com"과 관련된 그룹과의 중복 

GTIG는 이전에 UNC6040 및 "The Com"으로 알려진 광범위하고 느슨하게 조직된 집단과의 연관성이 의심되는 위협 그룹과 연결된 요소들과 특성을 공유하는 다양한 침입 인프라를 관찰했습니다. 또한 IT 지원을 통한 사회 공학, Okta 자격 증명 표적화, 다국적 기업의 영어권 사용자에 대한 초기 집중을 포함하여 중복되는 전술, 기술 및 절차(TTP)를 관찰했습니다. 이러한 유사점은 위협 행위자들 간의 직접적인 운영 관계를 나타내기보다는 동일한 커뮤니티 내에서 활동하는 관련 행위자들로부터 비롯된 것일 수 있습니다.

Data Loader

Modifications 

Data Loader를 사용한 일부 침입에서 공격자는 Salesforce 데이터를 피해 조직에서 빼내기 위해 Data Loader의 수정된 버전을 사용했습니다. 실행된 쿼리를 통한 도구 숙련도와 기능은 침입마다 다른 것으로 보입니다. 

한 사례에서는 공격자가 Salesforce에서 데이터를 빼내기 위해 작은 청크 크기를 사용했지만, 탐지 및 접근 권한이 취소되기 전까지 약 10%의 데이터만 검색할 수 있었습니다. 다른 사례에서는 처음에는 작은 청크 크기로 수많은 테스트 쿼리가 이루어졌습니다. 충분한 정보가 수집된 후, 공격자는 전체 테이블을 추출하기 위해 데이터 유출 볼륨을 급격히 증가시켰습니다. 

또한 공격자가 자신의 Data Loader 애플리케이션 이름을 "My Ticket Portal"로 구성하여, 도구의 외형을 비싱 통화 중에 사용된 사회 공학적 구실과 일치시킨 사례도 있었습니다.

전망 & 시사점  

사회 공학적 방법으로서의 보이스 피싱(비싱)은 그 자체로 새로운 기술은 아닙니다. 이는 최근 몇 년 동안 수많은 금전적 동기를 가진 위협 그룹에 의해 다양한 결과로 널리 채택되었습니다. 그러나 UNC6040의 이 캠페인은 특히 Salesforce 환경에서만 데이터를 빼내는 데 초점을 맞추고 있다는 점에서 주목할 만합니다. 또한, 이 활동은 더 광범위하고 우려스러운 추세를 강조합니다. 즉, 위협 행위자들이 귀중한 기업 데이터를 침해하기 위해 IT 지원 인력의 역할을 악용하여 초기 접근 권한을 얻기 위한 주요 벡터로 이들을 점점 더 표적으로 삼고 있다는 것입니다. 

이러한 세련된 비싱 전술을 활용하는 UNC6040과 같은 캠페인의 성공은 이 접근 방식이 조직의 방어 체계를 뚫으려는 금전적 동기를 가진 그룹에게 여전히 효과적인 위협 벡터임을 보여줍니다. 

최초 침해와 협박 사이의 기간이 길다는 점을 감안할 때, 앞으로 몇 주 또는 몇 달 내에 다수의 피해 조직과 잠재적인 다운스트림 피해자들이 협박 요구에 직면할 수 있습니다.

방어 태세, 완화 및 강화

이 캠페인은 클라우드 보안에 대한 공동 책임 모델의 중요성을 강조합니다. Salesforce와 같은 플랫폼이 강력한 엔터프라이즈급 보안 제어를 제공하지만, 고객이 모범 사례에 따라 접근 권한, 권한 및 사용자 교육을 구성하고 관리하는 것이 필수적입니다. 

사회 공학적 위협, 특히 Data Loader와 같은 도구를 악용하여 데이터를 빼내는 위협에 대비하기 위해 조직은 심층 방어(defense-in-depth) 전략을 구현해야 합니다. GTIG는 다음과 같은 주요 완화 및 보안 강화 조치를 권장합니다.

• 최소 권한 원칙 준수, 특히 데이터 접근 도구에 대해: 사용자에게 역할에 필수적인 권한만 부여하십시오. Data Loader와 같은 도구는 종종 전체 기능을 위해 ‘API 활성화(API Enabled)’ 권한이 필요하므로, 이 권한 할당을 엄격히 제한해야 합니다. 이 권한은 광범위한 데이터 내보내기 기능을 허용하므로, 할당 시 신중한 관리가 필요합니다. Salesforce의 지침에 따라 Data Loader 접근을 검토 및 구성하여 대량 데이터 작업을 수행할 수 있는 사용자 수를 제한하고, 프로필 및 권한 집합을 정기적으로 감사하여 적절한 접근 수준을 보장하십시오.

• 커넥티드 애플리케이션 접근 엄격 관리: Data Loader를 포함한 외부 애플리케이션이 Salesforce 환경과 어떻게 상호작용하는지 제어하십시오. 어떤 사용자, 프로필, 또는 권한 집합이 어디에서 커넥티드 앱을 사용할 수 있는지 명시하여 접근을 부지런히 관리해야 합니다. ‘애플리케이션 맞춤 설정(Customize Application)’ 및 ‘커넥티드 앱 관리(Manage Connected Apps)’와 같은 강력한 권한은 사용자가 새로운 커넥티드 애플리케이션을 승인하거나 설치하도록 허용하므로, 반드시 필수적이고 신뢰할 수 있는 관리자에게만 제한해야 합니다. 수정된 Data Loader 인스턴스와 같은 악성 애플리케이션의 무단 도입을 방지하기 위해, 커넥티드 앱을 검토 및 승인하는 프로세스를 개발하고, 알려진 안전한 애플리케이션을 허용 목록에 추가하는 것을 고려해 보십시오.

• IP 기반 접근 제한 강제: 상용 VPN을 사용하는 위협 행위자로부터의 무단 접근 시도를 막기 위해 IP 주소 제한을 구현하십시오. 로그인 범위 및 신뢰할 수 있는 IP를 설정하여 정의된 기업 및 VPN 네트워크로의 접근을 제한합니다. 사용자 프로필 및 커넥티드 앱 정책에 대해 허용된 IP 범위를 정의하여, 예상치 못한 또는 신뢰할 수 없는 IP 주소로부터의 로그인 및 앱 승인이 거부되거나 적절한 확인 절차를 거치도록 하십시오.

• Salesforce Shield를 통한 고급 보안 모니터링 및 정책 강제 활용: 향상된 경고, 가시성 및 자동화된 대응 기능을 위해 Salesforce Shield 내 도구를 활용하십시오. 트랜잭션 보안 정책(Transaction Security Policies)을 사용하면 대량 데이터 다운로드(Data Loader 악용의 일반적인 징후)와 같은 활동을 모니터링하고 자동으로 경고를 트리거하거나 이러한 작업을 차단할 수 있습니다. ‘이벤트 모니터링(Event Monitoring)’을 통해 사용자 행동, 데이터 접근 패턴(예: 누가 언제 어떤 데이터를 보았는지), API 사용 및 기타 중요한 활동에 대한 심층적인 가시성을 확보하여 침해를 나타내는 이상 징후를 탐지하는 데 도움을 받으십시오. 이러한 로그는 더 광범위한 분석을 위해 내부 보안 도구로 수집될 수도 있습니다.

• 다중 인증(MFA) 보편적 강제: 설명된 사회 공학적 전술이 사용자를 속여 MFA 프롬프트(예: 악성 커넥티드 앱 승인용)를 만족시키도록 유도할 수 있지만, MFA는 여전히 기본적인 보안 제어 수단입니다. Salesforce는 “MFA가 무단 계정 접근에 대한 보호를 강화하는 필수적이고 효과적인 도구”라고 명시하며 직접 로그인을 위해 이를 요구합니다. 조직 전체에 MFA가 강력하게 구현되었는지 확인하고, 사용자들이 이 중요한 보호 장치를 우회하기 위해 고안된 MFA 피로 전술 및 사회 공학적 시도에 대해 교육받도록 하십시오.

이러한 조치를 구현함으로써 조직은 이 보고서에 상세히 설명된 비싱 및 UNC6040 데이터 유출 캠페인에 대한 보안 태세를 상당히 강화할 수 있습니다. 추가적인 상세 지침은 Salesforce 보안 가이드를 포함하여 Salesforce의 보안 문서를 정기적으로 검토하십시오.