2025.8.11 구글 보이스피싱으로 광고 고객 250만명 정보 유출

사건 개요

• 해킹 그룹 샤이니헌터스(ShinyHunters) 가 구글의 기업용 세일즈포스(Salesforce) 환경을 표적으로 정교한 보이스피싱 공격을 수행.
• 공격자는 IT·세일즈포스 지원팀을 사칭해 직원들에게 전화를 걸어 데이터 로더(Data Loader) 앱 설치를 유도.
• 직원들이 제공한 8자리 OAuth 인증 코드를 통해 세일즈포스 접근 권한 탈취.
• 해커는 약 250만 건의 기록을 확보했다고 주장하며, 구글은 이를 6월에 발견하고 8월 5~8일 사이 고객들에게 통보.

---

 

피해 규모

• 유출 데이터: 구글 광고를 이용하는 중소기업의 회사명, 이메일 주소, 전화번호, 세일즈포스에 저장된 관련 메모
• 구글은 “대부분 공개 가능한 비즈니스 정보”라고 주장하지만, 갈취·사기 악용 가능성 우려 존재.
• 해커는 20 비트코인(약 230만 달러)을 요구했으나, “재미로 한 것”이라 주장.
• GTIG는 해당 그룹이 과거 갈취 활동과 연결돼 있다고 분석.

---

 

사고 원인

• 소셜 엔지니어링 기반 보이스피싱: 직원 설득 후 악성 앱 다운로드 및 OAuth 인증 코드 획득.
• 기술적 기법 고도화:
  • 맞춤형 파이썬 스크립트 활용
  • Mullvad VPN, TOR 네트워크로 익명성 강화
  • 타 조직 계정 탈취 후 악성 앱 등록
  • 자동화된 데이터 수집 시스템 운영
• 다른 사이버 범죄 조직과 인프라 공유하며 옥타, 마이크로소프트 365 등 타 클라우드 서비스도 공격.

 

이번 사건은 OAuth 인증 절차의 사회공학적 취약점을 교묘히 이용한 사례로, MFA(다중 인증)만으로는 방어가 어렵다는 점을 보여줍니다. 특히 지원팀 사칭 전화와 정상 도구로 위장한 악성 앱이 결합되면, 직원의 보안 인식이 부족할 경우 방어가 사실상 불가능해집니다. 앞으로는 앱 허용 목록 관리, 권한 최소화, VPN·TOR 차단 정책, 사용자 교육 강화가 필수적입니다.