사이버위협분석

샤이니헌터스(ShinyHunters) : 피싱 기법의 진화와 글로벌 해킹 피해

경험한사람 2025. 8. 30. 08:04

샤이니헌터스, 진화한 피싱 기법으로 구글·시스코·루이비통 등 글로벌 기업의 보안을 연쇄적으로 무너뜨리다

 

목차
   ­ㄴ 왜 다시 피싱(Phishing) 인가?  
   ㄴ 샤이니헌터스(ShinyHunters)란 누구인가?
   ㄴ 해킹 기법의 진화 (2025년형)
   ㄴ 2025년 피해 기업 사례

   ㄴ CRM이 왜 공격 표적이 되었는가?
   ㄴ 샤이니헌터스의 피싱 기법 특징
   ㄴ 대응 방안
   ㄴ 정보보호전문가 시각, 기타 의견
   ㄴ 결론

 

 

■ 왜 다시 피싱(Phishing) 인가?   

   최근 몇 년간 해킹 트렌드는 다시 **피싱(Phishing)**으로 회귀하고 있습니다.
더 이상 제로데이 취약점이나 고급 공격 기술만이 위협이 아니며, 사람을 속이는 사회공학적 기법이 가장 효율적인 수단으로 자리 잡았습니다. 2025년 들어서는 **글로벌 SaaS 서비스(Salesforce, Microsoft 365 등)**가 핵심 통로가 되면서, 보안 업계에서는 “기술이 아니라 사람이 약점”이라는 사실을 다시 강조하고 있습니다.



■  샤이니헌터스(ShinyHunters)란 누구인가?   

  • 등장 시기: 2020년 전후, 파키스탄 해커 포럼에서 활동하며 주목받음
  • 초기 활동: Tokopedia, Wattpad, Microsoft GitHub 등 대형 플랫폼 데이터 탈취 → 다크웹 판매
  • 대표 공격:
    • 2021년 AT&T 고객 데이터 해킹
    • 2024년 Snowflake 취약점을 통한 Ticketmaster(5억 6천만 명 데이터), Santander(3천만 건 고객 데이터) 탈취
  • 조직 특성: 소수 핵심 멤버 + 글로벌 협력 네트워크. 필요시 다른 그룹(예: Scattered Spider)과 협업
  • 공격 전략: 데이터를 10만 달러 수준에 판매하거나, 이윤이 남지 않으면 무료 공개하여 커뮤니티 명성을 확보

■   해킹 기법의 진화 (2025년형)   

샤이니헌터스는 2025년 들어 기술적 취약점보다 정교한 피싱 기법을 무기로 사용하고 있습니다.

  1. 보이스피싱(Vishing)
    • “IT 지원팀입니다”라고 사칭해 전화를 걸어, 직원에게 직접 인증코드 입력을 요구
    • 신뢰를 높이기 위해 “My Ticket Portal”, “Salesforce Support” 등 정상 포털을 위장
  2. 악성 OAuth 앱 승인
    • Salesforce의 정식 툴인 Data Loader를 위장한 앱 설치를 유도
    • 직원이 승인하면 합법적인 OAuth 토큰을 획득 → 대량 데이터 추출 가능
  3. 확장 공격
    • Salesforce 권한 탈취 후, Microsoft 365 등 다른 SaaS 계정까지 연계 침투
    • CRM, 이메일, 고객센터 DB까지 동시 노출


■  2025년 피해 기업 사례   

시기 기업/기관 피해내용 공격방식
1월 LVMH 그룹 (루이비통·디올·티파니앤코), 까르띠에 고객 개인정보, 여권번호, SSN 유출 Salesforce 피싱
1월 Allianz Life 약 140만 고객 데이터 탈취 Salesforce 피싱
3~4월 Adidas 고객 계정 정보 다크웹 유출 계정 침해
4월 영국 Legal Aid Agency 법률·재무 데이터 200만 건 탈취, 랜섬 요구 CRM 침해 + 협박
6월 Google 중소기업 고객 CRM 데이터(연락처, 메모) 유출 보이스피싱 + 악성 Data Loader
7월 Cisco 고객 이름, 조직명, 주소, 이메일, 전화번호 등 메타데이터 유출 동일 수법
7월 Qantas Airways 고객 예약정보·연락처 유출 Salesforce 피싱
8월 Air France-KLM 승객 이름, 이메일, 마일리지 정보 유출 Salesforce 피싱
8월 Workday 직원·고객 연락처 등 CRM 데이터 유출 보이스피싱 + Salesforce 피싱
상시 18개 기업 데이터 3억8,600만 건 무료 배포 이름, 이메일, 전화번호, 생년월일, 주소 등 개인정보 해킹 후 무상 공개


현재까지 구글, 시스코, 알리안츠, LVMH(루이비통·디올·티파니·까르띠에), 아디다스, 샤넬, 콴타스항공, 에어프랑스-KLM, Workday20개 이상 글로벌 기업이 피해자로 지목됨.

■  CRM이 왜 공격 표적이 되었는가?   

  • CRM(Customer Relationship Management) 정의
    고객과의 관계를 관리하는 시스템으로, 이름·이메일·전화번호·주소·구매내역·마케팅 이력·상담 기록 등 민감한 고객 데이터가 집중적으로 저장됩니다.
  • SaaS 기반 CRM 확산
    글로벌 기업 대부분이 Salesforce, Workday, Microsoft Dynamics 등 클라우드 CRM을 사용합니다.
     → 인터넷을 통한 원격 접속이 가능해 공격 노출면이 넓음
  • 해커 관점에서의 매력
    • 정보 가치 높음: 유출 시 피싱·스팸·사기·신원 도용에 재활용 가능
    • 산업 전반 적용: 금융, 리테일, 항공, 제조 등 거의 모든 산업이 CRM에 의존
    • 공급망 효과: 한 SaaS CRM을 침해하면 다수 기업이 동시에 피해 가능
  • 샤이니헌터스 사례와 연결
    2025년 공격에서 구글, 시스코, LVMH, 알리안츠, 항공사들이 공통적으로 Salesforce CRM 인스턴스를 통한 침해를 입음.
    단순 이메일 계정 해킹이 아닌, CRM 시스템을 통한 고객 데이터 대량 탈취라는 점이 핵심

 

■  샤이니헌터스의 피싱 기법 특징   

  • 기술적 결함이 아닌 사용자 보안 인식 부족을 노림
  • MFA(다중 인증)도 무력화: 사용자가 직접 인증코드를 입력하게 유도
  • SaaS 플랫폼의 **“신뢰 환경”**을 악용 → 직원이 쉽게 속음
  • CRM 시스템을 통해 이메일·연락처·고객 데이터 대량 탈취

유출 데이터는 다크웹 판매 + 무료 공개 → 피싱, 스팸, 신원 도용에 재활용

 

■  대응 방안   

  1. 기업 차원

  • SaaS 보안 정책 강화: 임의 앱 승인 제한, 승인 앱 주기적 점검
  • 로그/행위 기반 탐지: 대량 데이터 추출 시 이상 행위 알림
  • Zero Trust 모델 적용: 접속 위치·디바이스 검증 강화

  2. 직원 차원

  • 보이스피싱 대응 훈련: IT 지원 사칭 전화 시 반드시 보안팀 확인 절차 거치기
  • 의심 URL/앱 주의: Salesforce 관련 다운로드 요청은 반드시 공식 경로 확인

  3. 기술적 차원

  • MFA 강화: 단순 SMS/TOTP보다 FIDO2 기반 하드웨어 키 권장
  • UEBA(User & Entity Behavior Analytics): 사용자 이상행위 탐지
  • 피싱 도메인 차단: company-salesforce.com, ticket-brand.com 등 사전 등록된 악성 도메인 모니터링

■  정보보호전문가 시각, 기타 의견   

  • 왜 피싱이 부활했는가?
    기술적 방어가 고도화되자, 해커들은 가장 효율적이고 저비용인 **“사람”**을 다시 노리기 시작
  • 왜 Salesforce인가?
    글로벌 대기업들이 공통적으로 사용하는 SaaS 플랫폼 → 한 번 침해하면 여러 산업에 확산 효과
  • 데이터 무료 공개의 의미
    돈벌이뿐 아니라 “해킹 커뮤니티 내 명성 확보”라는 목적까지 함께 추구 → 장기적 활동 기반 마련

■  결론   

샤이니헌터스는 더 이상 단순한 데이터 유출 해커가 아닙니다.
정교한 피싱과 사회공학 기법을 결합해 글로벌 SaaS 플랫폼을 무기화하고 있으며, 피해 기업은 산업을 가리지 않고 늘어나고 있습니다.

기업은 SaaS 보안 정책·교육·로그 모니터링을 강화해야 하고,  개인은 “IT 지원팀 사칭 전화” 같은 단순한 공격에 속지 않는 보안 인식이 필요합니다. **“피싱은 구식이 아니라, 2025년형 해킹의 최전선”**임을 명심해야 합니다.

 

감사합니다.