라파엘 새터 기자가 전한 이 기사는 미국 워싱턴을 중심으로 전 세계 정보기술‧제조업계를 뒤흔든 클로록스(NYSE: CLX)의 초대형 해킹 사고와 그 후속 법적 대응을 다룬다.
2025년 7월 22일, 인베스팅닷컴의 보도에 따르면, 표백제 제조업체 클로록스가 2023년 대규모 사이버 공격의 배후 해커들에게 접근을 허용한 의혹을 받고 있는 정보기술(IT) 서비스 제공업체 코그니전트(NASDAQ: CTSH)를 캘리포니아주 고등법원(알라메다 카운티)에 제소했다.
클로록스 측 소장에 따르면, 지난해 8월 조직적으로 활동하는 해킹 그룹 ‘스캐터드 스파이더’(Scattered Spider)가 클로록스 내부망을 교란해 약 3억8,000만 달러(한화 약 5조1,900억 원)의 피해를 발생시켰다.
“코그니전트는 교묘한 해킹 기법이나 첨단 악성코드에 속지 않았다. 해커가 콜센터에 전화를 걸어 단순히 비밀번호를 요구했고, 서비스 데스크는 아무런 신원 확인 절차도 거치지 않은 채 자격 증명을 넘겨줬다.”
클로록스는 소장 전문에서 이렇게 주장하며, 코그니전트의 심각한 보안 관리 부실을 정면으로 지적했다.
사건의 경과
2023년 8월 피해 당시, 스캐터드 스파이더로 불리는 해커 조직은 글로벌 대기업 여러 곳을 표적으로 삼아 ‘소셜 엔지니어링’ 기법을 구사했다. 이는 기술적 해킹이라기보다 사람의 심리를 파고드는 공격 방식이다. 해커는 IT 헬프데스크 직원에게 전화를 걸어 “비밀번호를 잃어버렸다”거나 “접속이 안 된다”는 식으로 말해 자격 증명(credential)을 재설정하도록 유도한다. 클로록스에 따르면 코그니전트 서비스 데스크 직원들은 세 차례나 같은 방식으로 속아 넘어갔다.
소장에 첨부된 3개의 부분 녹취록은 이러한 장면을 생생히 보여준다. 예컨대 한 통화에서 해커는 “비밀번호가 없어 접속할 수 없다”고 하자, 상담원은 “그렇다면 새 비밀번호를 드리겠다”고 답한다. 직원은 사번이나 상급자 이름 같은 기본 검증 절차도 거치지 않았다.
피해 규모 및 책임 공방
클로록스는 해킹으로 인한 직‧간접 피해액을 3억8,000만 달러로 산정했다. 이 가운데 약 5,000만 달러는 해킹 복구 및 보안 강화에 투입된 직접 비용이며, 나머지는 제품 출하 지연에 따른 매출 손실이다. 클로록스는 “코그니전트가 일부 계정을 비활성화하지 않았고, 데이터 복구 또한 적절히 수행하지 못해 피해가 증폭됐다”고 주장했다.
코그니전트는 로이터가 논평을 요청했으나 즉각적인 입장을 내지 않았다. 현재까지 알라메다 카운티 고등법원 공개 기록에는 소장이 등재되지 않았지만, 클로록스는 법원 접수증 사본을 로이터에 제공하며 소 제기 사실을 확인했다.
전문가 분석 및 향후 전망
업계에서는 이번 사건이 ‘사람이 가장 약한 고리로 작용한다’는 사이버 보안 격언을 다시 한 번 입증했다는 평가가 나온다. 해커가 고도화된 악성코드를 사용하지 않고 ‘전화 한 통’으로 기업 핵심 인프라를 무력화했다는 점에서, 다중 인증(MFA)과 사용자 검증 절차의 중요성이 부각된다.
또한, 글로벌 공급망이 촘촘히 얽힌 제조업체일수록 디지털 리스크가 물류 지연을 초래해 매출에 직접 타격을 줄 수 있음을 방증한다. 클로록스의 사례는 단순한 IT 사고를 넘어, 주주·소비자·파트너사 모두에게 재무적 악영향을 미칠 수 있음을 시사한다.
법조계 관계자들은 이번 소송이 IT 서비스 계약서상 ‘보안 의무’ 해석과 손해배상 범위에 중요한 선례를 제공할 것으로 본다. 코그니전트가 과실을 부인할 경우, 서비스 헬프데스크 업무 프로토콜과 직원 교육 체계가 법정 공방의 핵심 쟁점으로 떠오를 가능성이 크다.
‘스캐터드 스파이더’란?
스캐터드 스파이더는 주로 북미와 유럽의 IT 지원 조직을 겨냥해 ‘자격 증명 탈취–랜섬웨어’로 이어지는 2단계 공격을 수행하는 것으로 알려졌다. 특히 젊은 연령층으로 구성돼 있어 게임·메신저 등에서 얻은 사회공학적 노하우를 적극 활용한다는 분석이 제기된다. 다만 클로록스 사건과 관련해 해당 해커 집단 구성원의 구체적 국적·신원은 아직 공개되지 않았다.
독자에게 주는 시사점
이번 사례는 기업 규모와 무관하게 “아무리 좋은 방화벽이라도 한 사람의 실수면 무용지물”이라는 교훈을 던진다. IT 헬프데스크 직원 교육, 다중 인증, 제로 트러스트(Zero Trust) 정책 도입 등 ‘사람 중심’ 보안 체계가 절실하다. 특히 재택근무와 클라우드 전환이 가속화된 오늘날, 기업은 물리적 보안보다 ‘신원 관리와 접근 제어’가 더욱 중요해졌다는 점을 직시해야 한다.
클로록스와 코그니전트의 분쟁 결과가 향후 글로벌 아웃소싱 시장에서 보안 SLA(Service Level Agreement)의 기준을 상향 조정할 가능성도 있다. 기업들은 계약 단계에서부터 ‘실시간 계정 인증’ ‘보안 인시던트 대응 보고 의무’ 등을 명문화할 필요가 있다.
※ 용어 설명
• 소셜 엔지니어링: 기술적 침투 대신 사람을 속여 정보를 얻는 해킹 수법.
• MFA(다중 인증): 비밀번호 외에 추가 인증 단계를 요구해 계정 보호를 강화하는 방식.
• 제로 트러스트: 네트워크 내·외부를 불문하고 모든 접근을 기본적으로 불신하고 검증부터 수행하는 보안 모델.
• SLA: 서비스 제공업체와 고객 간 합의한 서비스 수준·책임을 규정한 계약서.
