해커들, 수정된 세일즈포스 앱을 악용해 기업 데이터 도용 (로이터) – 구글에 따르면, 유럽과 아메리카에 위치한 기업들의 직원들을 속여 해커들은 세일즈포스(Salesforce) 관련 앱의 수정된 버전을 설치하게 하여, 막대한 양의 데이터를 도용하고 다른 기업용 클라우드 서비스에 접근하여 기업들을 협박하고 있다.
2025년 6월 4일, 구글의 위협 정보 그룹에 따르면, 해커 단체 UNC6040은 특히 세일즈포스의 데이터 로더(Data Loader)의 수정된 버전을 설치하도록 직원들을 속이는 데 매우 효과적인 것으로 나타났다. 데이터 로더는 세일즈포스 환경에 대량 데이터를 가져오는 데 사용되는 독점 도구다. 이 해커들은 음성 전화를 사용하여 직원들이 세일즈포스 연결 앱 설정 페이지로 이동하여 해커들이 만든 비승인 수정 앱 버전을 승인하도록 유도하고 있다.
만약 직원이 이 앱을 설치하면 해커들은 손상된 세일즈포스 고객 환경에서 민감한 정보를 직접적으로 접근, 질의, 추출할 수 있는 상당한 기능을 얻게 된다. 이 액세스는 해커들에게 고객의 네트워크 전반에 걸쳐 이동할 수 있는 능력을 제공하며, 다른 클라우드 서비스와 내부 기업 네트워크 공격도 가능케 한다. 이 캠페인과 관련된 기술 인프라는 ‘The Com’이라는 광범위하고 느슨하게 조직된 생태계와의 관련성을 의심할 만한 특징을 공유하고 있다고 연구원들은 밝혔다.
구글 대변인은 최근 몇 달간 관찰된 UNC6040 캠페인으로 인해 대략 20개의 기관이 영향을 받았으며, 이 중 일부는 데이터가 성공적으로 추출되었다고 말했다. 한편, 세일즈포스 대변인은 이메일을 통해 “앞서 설명된 문제는 우리 플랫폼의 고유한 취약점에서 비롯된 것이 아니다”라고 밝혔다. 특히 음성 전화를 이용한 공격은 “개인 사용자의 사이버 보안 인식과 모범 사례의 허점을 악용하려는 목표로 고안된 사회 공학을 활용한 사기”라고 덧붙였다.
세일즈포스는 고객들에게 음성 피싱, 즉 ‘비싱(vishing)’ 공격과 해커들이 악의적인 수정된 데이터 로더 버전을 악용하는 것에 대해 경고한 바 있다.
