쿠시먼 앤 웨이크필드 비싱 공격: ShinyHunters, 50만 건 레코드 탈취 주장

글로벌 부동산 기업, 음성 피싱 공격 피해 입어

세계 최대 상업용 부동산 회사 중 하나인 쿠시먼 앤 웨이크필드(Cushman & Wakefield)가 음성 피싱, 즉 비싱(vishing) 공격과 관련된 데이터 보안 사고를 확인했습니다. 두 개의 별개 사이버범죄 그룹이 책임을 주장하고 나섰습니다. ShinyHunters는 개인 식별 정보(PII)가 담긴 세일즈포스(Salesforce) 레코드 50만 건을 탈취했다고 주장하는 반면, Qilin 랜섬웨어 그룹은 해당 회사에 대한 독자적인 공격을 별도로 주장하고 있습니다. 이 두 사건이 단일 협조 캠페인인지 아니면 두 건의 별개 침해인지는 아직 불분명하지만, 이번 사건은 불편한 현실을 부각시킵니다. 상당한 IT 자원을 보유한 조직조차도 설득력 있는 전화 한 통에 무너질 수 있다는 것입니다.

쿠시먼 앤 웨이크필드는 이번 사고를 "제한적인" 범위라고 설명했지만, 주요 클라우드 CRM 플랫폼과 연결된 50만 건의 레코드 노출은 결코 사소한 문제가 아닙니다. 세일즈포스 환경에는 연락처 정보, 거래 이력, 민감한 비즈니스 커뮤니케이션이 저장되어 있는 경우가 많습니다. 전 세계 상업용 부동산 거래를 운영하는 기업의 경우, 위험에 처한 데이터는 자사 직원을 훨씬 넘어 고객, 파트너, 거래 상대방에게까지 영향을 미칠 수 있습니다.

비싱이 기술적 방어를 무력화하는 이유

비싱 공격은 대부분의 조직이 막대한 투자를 해온 기술적 통제를 우회하기 때문에 특히 위험합니다. 방화벽, 엔드포인트 탐지, 네트워크 모니터링은 공격자가 직원에게 전화를 걸어 IT 지원팀, 벤더, 또는 임원인 척 설득력 있게 사칭할 때는 대부분 무용지물입니다. 공격자의 목표는 기계가 아닌 사람을 조종하는 것이며, 사람은 패치를 적용하기가 훨씬 더 어렵습니다.

전형적인 비싱 시나리오에서 발신자는 긴박감을 조성하고, 허위 신뢰성을 구축하며, 대상이 자격 증명을 넘겨주거나, 계정 변경을 승인하거나, 악성 소프트웨어를 설치하는 링크를 클릭하도록 유도합니다. 공격자가 세일즈포스 같은 플랫폼의 유효한 자격 증명을 확보하면 명백한 경보를 발생시키지 않고 조용히 환경 내를 이동하며 레코드를 유출할 수 있습니다. 쿠시먼 앤 웨이크필드에 대한 공격은 여러 산업에서 반복적으로 목격되는 패턴을 따르고 있습니다. 소셜 엔지니어링이 진입점이 되고, 클라우드 데이터가 목표물이 됩니다.

이것이 바로 기술적 보안 수단만으로는 충분하지 않은 이유입니다. 직원 인식 교육, 민감한 요청에 대한 엄격한 검증 절차, 자격 증명 변경과 관련된 명확한 프로토콜은 그 어떤 소프트웨어 통제만큼이나 중요합니다. 보안을 순전히 기술적인 문제로 취급하는 조직은 방어 체계에 사람 크기만 한 구멍을 남겨두는 것입니다.

계층형 커뮤니케이션 보안의 필요성

쿠시먼 앤 웨이크필드 사건은 기업들이 민감한 커뮤니케이션을 어떻게 처리하는지에 대한 더 광범위한 의문을 제기합니다. 수십만 건의 레코드를 보유한 시스템에 대한 접근 권한이 전화 통화 한 번으로 부여될 수 있다면, 커뮤니케이션 채널 자체가 공격 표면의 일부가 된다는 것을 시사합니다. 암호화되고 검증된 커뮤니케이션 채널은 공격자가 극복해야 하는 마찰을 한 겹 더하는 동시에, 암호화되지 않은 전화 통화가 남기지 못하는 감사 추적을 생성합니다.

보안 커뮤니케이션 관행은 조직의 모든 수준에서 중요합니다. 여기에는 내부 조율을 위한 암호화 메시징 사용, 원격 근무자가 안전하고 인증된 연결을 통해 민감한 시스템에 접근하도록 보장하는 것, 그리고 자격 증명이나 시스템 접근과 관련된 모든 요청에 대해 행동하기 전에 대역 외 검증 단계를 수립하는 것이 포함됩니다. 이러한 관행은 대기업에만 해당되는 것이 아닙니다. 클라우드 플랫폼에서 고객 PII를 처리하는 모든 규모의 비즈니스가 동일한 근본적인 위험에 노출되어 있습니다.

과거 여러 분야에서 고프로파일 침해 사고와 연루된 바 있는 ShinyHunters 그룹은 클라우드 호스팅 데이터베이스를 표적으로 삼는 활동이 점점 더 활발해지고 있습니다. 텔레그램 채널을 통해 쿠시먼 앤 웨이크필드 관련 주장을 공표한 것은 이러한 작전이 얼마나 공개적이고 대담하게 이루어지고 있는지를 잘 보여줍니다. 한편 Qilin의 별도 주장은 동일한 초기 접근 권한을 활용한 여러 공격자가 해당 회사를 표적으로 삼았거나, 아니면 랜섬웨어 그룹이 기업에 대가 지불 압박을 가하기 위해 기회주의적으로 관여를 주장하고 있음을 시사합니다.

이것이 여러분에게 의미하는 것

개인에게 있어 가장 즉각적인 우려 사항은 본인의 정보가 유출됐다고 주장되는 50만 건의 세일즈포스 레코드에 포함되어 있는지 여부입니다. 고객, 임차인, 또는 비즈니스 파트너로서 쿠시먼 앤 웨이크필드와 거래한 적이 있다면, 계정의 비정상적인 활동을 모니터링하고 개인 정보를 활용해 정상적인 것처럼 보이는 후속 피싱 시도에 경계를 늦추지 않는 것이 좋습니다.

조직에게 있어 이번 사건은 클라우드 CRM 플랫폼에 대한 접근 권한이 어떻게 부여되고 취소되는지를 점검하는 계기가 됩니다. 다음과 같은 핵심 질문들을 고려해야 합니다. 직원이 전화 요청만으로 자격 증명 변경이나 데이터 내보내기를 승인할 수 있는가? 민감한 작업에 대한 검증 단계가 문서화되어 있으며 일관되게 준수되고 있는가? 사고 대응 계획에 소셜 엔지니어링이 진입 벡터로 포함되어 있는가?

쿠시먼 앤 웨이크필드 침해 사고는 보안 도구만큼 보안 문화가 중요하다는 사실을 상기시켜 줍니다. 어떠한 기술 투자도 의심스러운 전화를 인식하고 신고하도록 훈련받지 않은 직원을 완전히 보완할 수는 없습니다.

실행 가능한 핵심 사항:

• 이메일 피싱뿐만 아니라 비싱 전술에 대해 직원을 전문적으로 교육하십시오. 음성 기반 공격은 다른 인식 능력을 필요로 합니다.
• 발신자가 아무리 합법적으로 들리더라도, 자격 증명, 계정 변경, 또는 대량 데이터 접근과 관련된 모든 요청에 대해 다단계 검증을 구현하십시오.
• 세일즈포스 같은 클라우드 플랫폼에 대한 접근 권한을 감사하고 최소 권한 원칙을 적용하십시오. 사용자는 실제로 필요한 것에만 접근해야 합니다.
• 직원이 조치를 취하기 전에 의심스러운 요청을 검증할 수 있는 명확하고 신뢰할 수 있는 내부 채널을 구축하십시오.
• CRM 및 클라우드 스토리지 환경에서 비정상적인 데이터 내보내기 활동을 모니터링하십시오. 대규모 레코드 접근은 유출이 완료되기 전에 탐지되는 경우가 많습니다.

인적 요소는 기업 보안에서 가장 많이 악용되는 취약점으로 남아 있습니다. 이 격차를 해소하려면 더 나은 소프트웨어뿐만 아니라 사람, 프로세스, 그리고 검증된 커뮤니케이션 관행에 대한 투자가 필요합니다.