주의! Salesforce 계정 노리는 UNC6040, UNC6395 공격 그룹 등장: 데이터 유출 & 협박 위협 급증

최근 기업들의 Salesforce 계정을 노리는 두 개의 위협 그룹, UNC6040과 UNC6395의 활동이 활발해지면서 기업들의 데이터 보안에 적신호가 켜졌습니다. 미국 연방수사국(FBI)은 이들의 공격 수법과 침해 지표(IOC)를 담은 FLASH 경보를 발령하며 기업들의 각별한 주의를 당부했습니다.

UNC6395: Salesloft Drift 챗봇 통합 기능 악용

UNC6395는 Salesloft Drift 챗봇과 같은 Salesforce 통합 기능을 악용하여 침투하는 수법을 사용합니다. 이들은 인공지능(AI) 챗봇을 통해 Salesforce 계정에 접근, 민감한 데이터를 탈취합니다. 특히 클라우드플레어, 지스케일러, 테너블 등 유명 기술 및 보안 기업들이 이들의 공격 대상이 된 것으로 알려져 충격을 주고 있습니다.

UNC6040: 전화 기반 사회공학적 기법 활용

UNC6040은 전화 기반의 사회공학적 기법을 사용하여 피해자들을 속여 접근 권한을 얻어냅니다. 이들은 IT 지원 담당자를 사칭하여 기업 전체의 연결 문제 해결을 돕는 것처럼 속이고, 고객 지원 담당자를 속여 공격자에게 접근 권한을 부여하거나 직원 자격 증명을 공유하도록 유도합니다. 이를 통해 기업의 Salesforce 인스턴스에 접근하여 고객 데이터를 빼돌립니다.

Scattered Spider와 ShinyHunters의 협박 공격

FBI는 이번 경보에서 Scattered Spider 그룹을 직접적으로 언급하지는 않았지만, 데이터 유출 후 이어지는 협박 공격은 ShinyHunters 그룹이 주도하는 경우가 많다고 밝혔습니다. ShinyHunters는 Scattered Spider와 협력 관계에 있으며, 한때 ScatteredLapsus$Hunters라는 이름으로 합쳐져 활동하기도 했습니다. Scattered Spider는 이전에 VMware 공격을 통해 미국의 주요 기반 시설을 표적으로 삼은 전례도 있습니다.

기업의 대응 방안

이러한 위협에 대응하기 위해 기업은 다음과 같은 보안 조치를 강화해야 합니다.

• Salesforce 계정의 다단계 인증(MFA) 활성화
• Salesforce 통합 앱의 보안 설정 강화
• 직원 대상 사회공학적 공격 인식 교육 실시
• 이상 징후 감지 및 대응 시스템 구축
• 정기적인 보안 감사 및 취약점 점검

특히, 수상한 전화나 이메일에 대한 경각심을 높이고, IT 지원을 사칭하는 연락에 대해서는 반드시 공식 채널을 통해 확인하는 것이 중요합니다.

결론

UNC6040과 UNC6395의 Salesforce 계정 공격은 기업의 중요한 데이터 자산에 대한 심각한 위협입니다. FBI의 경고를 무시하지 않고, 적극적인 보안 조치를 통해 데이터 유출 및 협박 피해를 예방해야 합니다. 강력한 인증 시스템 구축과 함께, 직원들의 보안 의식 강화가 무엇보다 중요합니다.