구글 위협 그룹 추적, "UNC6040, 보이스 피싱으로 기업 데이터 갈취"

구글 위협 그룹 추적, "UNC6040, 보이스 피싱으로 기업 데이터 갈취"

'전화 한 통의 대가', 보이스 피싱의 진화가 경고한다

최근 구글 위협 인텔리전스 그룹(GTIG)의 보고서는 보이스 피싱의 새로운 위협을 경고하고 있다. 더 이상 개인의 금융 정보를 노리는 단순한 사기가 아니다. 이제 보이스 피싱은 기업의 핵심 데이터, 특히 세일즈포스(Salesforce) 환경을 노리는 정교한 공격 수단이 됐다. 이는 'UNC6040'이라는 위협 그룹의 활동을 통해 명확히 드러난다.

UNC6040, 보이스 피싱의 새로운 표적을 향하다

UNC6040은 금전적 이익을 목적으로 움직이는 위협 그룹으로, IT 지원 직원을 사칭하는 사회공학적 기법을 사용한다. 이들은 전화 통화로 피해 기업 직원들을 속여 악성 애플리케이션을 승인하도록 유도한다. 특히 이 과정에서 세일즈포스의 '데이터 로더(Data Loader)' 앱을 변조해 사용하는 수법이 포착됐다. 피해자가 무심코 승인하면, 공격자는 기업의 영업 정보와 고객 데이터 등 민감한 정보를 통째로 탈취하게 된다.

더욱 우려스러운 점은 이들의 전술이 진화하고 있다는 사실이다. 초기에는 공식 애플리케이션을 악용했다면, 이제는 직접 제작한 파이썬 스크립트와 같은 맞춤형 앱을 사용한다. 또한, 멀바드(Mullvad) VPN이나 TOR를 활용해 공격자의 신원을 감추고, 데이터 유출 후 수개월이 지나서야 '샤이니헌터스(ShinyHunters)'와 같은 유명 해킹 그룹을 사칭하며 금품을 요구하는 이중 협박 전술을 사용하기도 한다.

---

기업 보안, '공동 책임 모델'을 인식해야 한다

이러한 위협에 맞서기 위해 기업들은 단순히 기술적 보안만으로는 충분치 않다는 것을 깨달아야 한다. 구글의 보고서는 클라우드 보안의 '공동 책임 모델'을 강조한다. 세일즈포스와 같은 클라우드 플랫폼은 강력한 보안 기능을 제공하지만, 이를 제대로 활용하고 관리하는 것은 고객의 몫이라는 의미다.

따라서 기업은 다음과 같은 다층 방어 전략을 반드시 구현해야 한다.

1. 최소 권한 원칙 적용: 특히 데이터 로더와 같은 도구는 꼭 필요한 사용자에게만 'API 사용' 권한을 부여해야 한다.
2. 연결된 앱 관리: 외부 앱의 접근을 엄격히 통제하고, 검토 및 승인 절차를 마련해야 한다.
3. IP 기반 접근 제한: 상용 VPN을 통한 접근을 막기 위해 신뢰할 수 있는 IP 범위 내에서만 로그인을 허용해야 한다.
4. 다단계 인증(MFA) 의무화: MFA는 기본적인 방어 수단이지만, 이마저도 우회하려는 사회공학적 공격에 대한 사용자 교육이 필수다.

---

 공공의 이익과 보안의 미래

이번 사례는 우리에게 중요한 교훈을 남긴다. 단순한 전화 한 통이 기업의 존폐를 위협할 수 있는 시대가 됐다. 이는 보안의 중요성이 특정 전문가의 영역을 넘어, 모든 조직 구성원의 일상적인 행동과 의식에 달려있음을 보여준다.

이런 상황에서. 전문가들은 "보안은 기술의 문제가 아니라 인간의 문제"라는 것이다. 그는 사용자를 노리는 사회공학적 공격이 더욱 정교해지는 현실 속에서, 보안 인식을 높이는 교육과 체계적인 대응책 마련이 공공의 이익을 보호하는 핵심이라고 말한다.

https://www.esgre100.com/news/articleView.html?idxno=4057

구글 위협 그룹 추적, "UNC6040, 보이스 피싱으로 기업 데이터 갈취" - 더이에스지(theesg)뉴스