하나를 뚫어 열둘을 털었다 — 공급망 해킹의 진화
해킹 그룹 샤이니헌터스가 기업 모니터링 소프트웨어 아노닷을 침해해 최소 12개 기업 데이터를 탈취했다. 록스타 게임즈도 피해 기업 중 하나로 확인됐다. 공급망 해킹의 구조와 한국 기업에 주는 시사점을 분석한다.
12개 기업이 동시에 털렸다. 그것도 자신들의 시스템이 뚫린 게 아니라, 믿고 쓰던 소프트웨어 하나가 무너지면서.
무슨 일이 있었나
4월 4일, 기업 운영 모니터링 소프트웨어 업체 아노닷(Anodot)의 데이터 커넥터가 갑자기 작동을 멈췄다. 고객사들은 클라우드에 저장된 자사 데이터에 접근할 수 없게 됐다. 단순한 장애처럼 보였지만, 실상은 달랐다.
해킹 그룹 샤이니헌터스(ShinyHunters)가 아노닷 내부에 침투해 고객사들의 인증 토큰을 훔쳐낸 것이었다. 인증 토큰이란 쉽게 말해 '마스터키'다. 비밀번호를 몰라도 이 토큰만 있으면 해당 클라우드 계정에 그대로 로그인할 수 있다. 해커들은 이 토큰을 이용해 고객사들의 클라우드 저장소에서 대량의 데이터를 빼냈다. 클라우드 서비스 제공업체 스노우플레이크(Snowflake)는 일부 데이터 저장소에서 "비정상적인 활동"을 감지하고 아노닷 고객사들의 접근을 차단했다.
피해를 입은 기업 중에는 게임사 록스타 게임즈(Rockstar Games)도 포함된 것으로 알려졌다. 록스타 측 대변인은 "제3자 데이터 침해와 관련해 일부 비중요 회사 정보가 접근된 것을 확인했다"면서도 "조직이나 플레이어에게 영향은 없다"고 밝혔다. 샤이니헌터스는 현재 몸값을 지불하지 않으면 탈취한 데이터를 공개하겠다고 협박하고 있다.
이 해킹이 '다른' 이유
표면적으로는 데이터 침해 사고 중 하나처럼 보인다. 하지만 이번 사건의 구조를 들여다보면, 기존의 해킹과 결이 다르다.
샤이니헌터스는 무작위로 기업을 노리지 않는다. 이들은 고객사가 많고, 클라우드 데이터에 광범위하게 접근할 수 있는 B2B 소프트웨어 업체를 집중적으로 공략한다. 아노닷처럼 수십, 수백 개 기업의 클라우드 데이터를 한 곳에서 연결·분석해주는 플랫폼은 해커 입장에서 '일타다피' 표적이다. 실제로 이 그룹은 지난 1년간 게인사이트(Gainsight), 세일즈로프트(Salesloft) 등 유사한 구조의 기업들을 연달아 공격했다. 한 곳에서 훔친 토큰이 다른 기업 침투로 이어지는 연쇄 구조도 확인됐다.
공격 방식도 눈여겨볼 만하다. 이들은 단순히 기술적 취약점만 이용하지 않는다. 소셜 엔지니어링, 즉 IT 헬프데스크나 지원 직원을 사칭해 내부 직원을 속이는 방식으로 초기 침투에 성공하는 경우가 많다. 아무리 방화벽이 견고해도, 사람을 속이면 문이 열린다.
왜 지금, 왜 중요한가
이번 사건은 우연히 터진 게 아니다. 기업들이 클라우드 전환을 가속화하면서, 수십 개의 외부 SaaS 솔루션을 연동해 쓰는 구조가 보편화됐다. 마케팅 자동화, 고객 데이터 분석, 운영 모니터링…각각의 솔루션이 기업 데이터의 일부 또는 전부에 접근 권한을 가진다. 기업 입장에서는 편리함을 얻었지만, 공격 표면(attack surface)은 그만큼 넓어졌다.
스노우플레이크는 2024년에도 유사한 대규모 공급망 침해 사고의 중심에 있었다. 당시 수백 개 기업 고객의 데이터가 유출됐고, 티켓마스터, 산탄데르 은행 등이 피해를 입었다. 그 사건에도 샤이니헌터스가 연루됐다. 같은 그룹이, 같은 방식으로, 2년 만에 다시 유사한 경로를 통해 성공했다는 점은 업계가 근본적인 구조를 바꾸지 못했음을 시사한다.
이해관계자별 시각
기업 보안 담당자 입장에서는 이번 사건이 '우리 문제'다. 자사 시스템이 아무리 견고해도, 연동된 외부 솔루션이 뚫리면 속수무책이다. 특히 인증 토큰 관리는 많은 기업이 소홀히 하는 영역이다. 토큰의 유효기간 설정, 최소 권한 원칙 적용, 이상 접근 탐지 체계가 없다면 이번 사건의 피해 기업 중 하나가 될 수 있다.
클라우드 서비스 업체 관점에서는 딜레마가 있다. 고객에게 편리한 연동 환경을 제공해야 하지만, 그 연동이 보안의 약한 고리가 된다. 스노우플레이크가 이번에 빠르게 접근을 차단한 것은 긍정적이지만, 사후 대응이라는 한계는 여전하다.
한국 기업 입장에서도 이 사건은 남의 일이 아니다. 국내 대기업과 중견기업들도 세일즈포스, 워크데이, 스노우플레이크 등 글로벌 SaaS를 광범위하게 도입하고 있다. 해외에서 발생한 공급망 침해가 국내 기업의 데이터 유출로 이어질 수 있는 구조다. 삼성전자, 현대자동차, 국내 금융기관들이 연동해 쓰는 외부 솔루션의 보안 수준을 얼마나 검증하고 있는지 돌아볼 필요가 있다.
게이머와 일반 소비자 입장에서는 록스타 게임즈의 피해가 '비중요 정보'라는 해명이 얼마나 믿을 만한지 의구심이 생길 수 있다. 록스타는 2022년에도 해킹으로 GTA VI 영상이 유출된 전례가 있다. 같은 기업이 두 번 연속 침해 피해를 입었다는 사실은, 개인 계정 정보나 결제 데이터가 안전한지에 대한 신뢰를 흔든다.
공급망 해킹, 어디까지 왔나
| 구분 | 전통적 해킹 | 공급망 해킹 |
|---|---|---|
| 표적 | 피해 기업 직접 공격 | 피해 기업이 쓰는 소프트웨어 공격 |
| 효율성 | 1개 기업 침해 | 1회 침투로 다수 기업 동시 침해 |
| 탐지 난이도 | 상대적으로 탐지 용이 | 정상 인증 토큰 사용으로 탐지 어려움 |
| 책임 소재 | 명확 | 소프트웨어 업체 vs 고객사 간 불분명 |
| 대응 주체 | 피해 기업 자체 | 생태계 전체의 협력 필요 |
공급망 해킹은 더 적은 노력으로 더 많은 피해를 낼 수 있다는 점에서, 앞으로도 해커들이 선호하는 전략으로 자리잡을 가능성이 높다. 소프트웨어 공급망 보안을 강화하기 위한 미국 정부의 행정명령(2021년), 유럽의 사이버복원력법(Cyber Resilience Act) 등 규제 대응도 빨라지고 있지만, 실제 기업 현장의 변화 속도는 여전히 느리다.
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
Booking.com이 해킹으로 고객 이름·이메일·주소·전화번호·예약 정보가 유출됐다고 인정했다. 피싱 공격까지 이어진 이번 사태가 한국 여행자에게 의미하는 것.
트럼프 행정부가 월가 은행들에 Anthropic의 Mythos AI 모델 테스트를 권고했다. 동시에 같은 회사를 법원에서 상대하고 있는 아이러니한 상황, 그 이면을 들여다본다.
링크드인이 사용자 브라우저 확장 프로그램을 무단 스캔했다는 혐의로 미국에서 집단소송 2건이 제기됐다. 개인정보 침해 논란의 배경과 의미를 짚는다.
앤트로픽이 신형 AI 모델 클로드 마이토스 프리뷰와 함께 사이버보안 산업 컨소시엄 프로젝트 글래스윙을 출범했다. 마이크로소프트·구글·애플 등 50개 이상 기업이 참여하는 이 협력체가 의미하는 것은 무엇인가.
Booking.com이 해킹으로 고객 이름·이메일·주소·전화번호·예약 정보가 유출됐다고 인정했다. 피싱 공격까지 이어진 이번 사태가 한국 여행자에게 의미하는 것.
트럼프 행정부가 월가 은행들에 Anthropic의 Mythos AI 모델 테스트를 권고했다. 동시에 같은 회사를 법원에서 상대하고 있는 아이러니한 상황, 그 이면을 들여다본다.
링크드인이 사용자 브라우저 확장 프로그램을 무단 스캔했다는 혐의로 미국에서 집단소송 2건이 제기됐다. 개인정보 침해 논란의 배경과 의미를 짚는다.
앤트로픽이 신형 AI 모델 클로드 마이토스 프리뷰와 함께 사이버보안 산업 컨소시엄 프로젝트 글래스윙을 출범했다. 마이크로소프트·구글·애플 등 50개 이상 기업이 참여하는 이 협력체가 의미하는 것은 무엇인가.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요