전 세계 최대 검색엔진 기업 구글이 고객 정보 시스템 ‘세일즈포스(Salesforce)’ 침해로 인한 사칭 피싱 공격이 확산되자 지메일 사용자 25억 명에게 비밀번호 변경과 보안 강화를 권고했다.

지난 27일(현지시간) 구글은 해커 조직이 자사 직원으로 위장해 로그인 자격 증명을 탈취한 뒤, 고객 정보 관리에 사용하는 클라우드 시스템 ‘세일즈포스’에 침입해 회사명과 연락처 정보 등 비즈니스 데이터를 유출했다고 밝혔다.

이번 사건은 지난 6월 발생했으며, 공격에 사용된 수법은 세일즈포스의 ‘데이터 로더’ 기능을 변형해 사용자가 악성 애플리케이션을 승인하도록 유도하는 방식이다.

사용자가 승인하면 해커는 해당 애플리케이션을 통해 세일즈포스 시스템에 접근해 대량의 고객 데이터를 추출할 수 있다.

해커는 유출한 정보를 바탕으로 구글을 사칭한 이메일, 문자, 전화를 보내 로그인 코드나 계정 인증 정보를 요구하는 피싱·보이스피싱 공격을 벌이고 있다. 

해킹에 연루된 조직은 ‘샤이니 헌터스’와 ‘UNC6040’으로 확인됐다. 이들은 미국 650 지역번호 등 실제 존재하는 발신 번호를 활용해 공격을 수행하고 있는 것으로 알려졌다.

구글 위협 인텔리전스 그룹(GTIG)은 “해킹으로 사용자 계정 잠금이나 민감한 정보 접근 등 실제 피해가 발생하고 있다”며 “이러한 공격 방식은 다국적 기업의 사용자들을 겨냥한 정교한 피싱 시도로 이어지고 있다”고 분석했다.

한편, 구글은 사용자들에게 고유하고 강력한 비밀번호 사용, 구글 보안 점검 수행, 다중 인증 설정, 패스키 도입 등 보안 강화를 당부했다.

GTIG는 “해커들이 세일즈포스 평가판 계정이나 손상된 외부 계정을 이용해 악성 앱을 등록하고 사용자에게 이를 승인하도록 유도한 사례가 확인됐다”고 지적하며, 연결된 애플리케이션에 대한 접근 제어, 사용자 권한 최소화, IP 기반 접근 제한 등 내부 보안 설정 강화를 통해 유사한 공격을 방지해야 한다고 강조했다.