[보안뉴스 한세희 기자] IT 지원 인력을 사칭해 보이스피싱 전화를 걸고, 가짜 세일즈포스 앱 설치를 유도해 데이터를 빼내는 공격이 포착됐다.

5일 구글 위협 인텔리전스 그룹(GTIG)은 미국과 유럽 주요 산업군을 대상으로 보이스피싱과 사회공학 기법을 사용한 공격을 일삼는 위협 집단 UNC6040에 대한 조사 결과를 발표했다.

UNC6040 공격자는 조직 내 IT 지원 인력을 사칭해 전화를 걸어 가짜 세일즈포스 연동 앱으로 위장한 악성 앱을 설치하도록 유도한다.


▲세일즈포스 데이터 로더 앱 [자료: 구글]

서비스로서의 소프트웨어(SaaS) 고객관계관리(CRM) 서비스인 세일즈포스 시스템에 각종 기업용 데이터를 올리거나 내려받는데 쓰이는 ‘데이터 로더’ 연동 앱으로 주로 위장한다. 악성 앱을 정상 앱으로 위장해 사용자가 설치하고 인증 정보를 입력하게 함으로써 피해자 정보를 훔친다.

액세스 관리 플랫폼 옥타(Okta) 페이지로 위장한 피싱 페이지로 사용자를 속이고, 직접 다중인증(MFA) 코드를 입력하도록 유도한다. 또 데이터 유출을 위해 뮬바드 가상사설망(VPN)의 IP 주소를 사용하는 것으로 확인됐다.

공격자는 설치된 악성 앱을 통해 조직 내 민감한 데이터에 접근하고, 다른 클라우드 서비스나 기업 내부 네트워크로 측면 이동할 수 있다.

이번 공격은 수개월 전 처음 시작돼 현재 약 20개 조직이 영향을 받은 것으로 구글은 파악했다. 미국과 유럽 전역의 관광과 소매 유통, 교육 등 다양한 산업 분야가 대상이다.


▲UNC6040 공격 개념도 [자료: 구글]

이 공격은 시스템의 취약점보다는 IT 지원 인력을 사칭한 사회공학 기법 보이스피싱으로 피해자의 신뢰를 얻어 진행된다. 구글 관계자는 “이번 공격은 세일즈포스의 취약점이 아니라 최종 사용자의 신뢰를 악용한다는 점이 가장 중요한 특징”이라며 “정교한 보이스피싱 공격은 금전적 이득을 노리는 공격자들에 여전히 효과적인 공격 영역”이라고 밝혔다.

일부 공격 사례에선 최초 침입 후 몇 달이 지나서야 갈취 활동이 나타났다. 이는 UNC6040이 탈취한 데이터에 대한 접근 권한을 통해 수익을 창출하는 다른 위협 행위자와 협력했을 가능성을 시사한다고 구글은 밝혔다.

구글은 UNC6040이 공격에 사용한 인프라나 전술, 기술, 절차(TTP) 등이 사이버 범죄자 연합 ‘더 컴’(The Com) 생태계와 일치한다고 밝혔다. 유명 사이버 범죄 그룹 ‘스캐터드 스파이더’도 이 생태계의 일원이다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>