[구글] 세일즈포스 보이스피싱 해킹으로 광고 고객 250만명 정보 유출_2025년 08월

샤이니헌터스, 세일즈포스 OAuth 우회…구글 광고 고객 250만명 이름·연락처·메모 유출

□  개요  

     2025년 6월, 글로벌 IT 기업 구글(Google) 의 세일즈포스(Salesforce) CRM 환경이 보이스피싱(비싱) 공격에 뚫려 광고 고객 정보가 유출되는 사건이 발생했다.
    해킹은 국제 해킹 그룹 샤이니헌터스(ShinyHunters, 일명 Sp1d3rHunters) 가 주도했으며, 이들은 구글 직원들을 속여 OAuth 인증 코드를 탈취하고, 세일즈포스의 데이터 로더(Data Loader) 앱을 악용해 데이터를 외부로 빼냈다. 공격자는 약 250만 건의 고객 기록을 탈취했다고 주장했으며, 구글은 일부 피해 사실을 인정했다.

 

□  사고내용 요약  

    1. 회사명 : 구글(Google)
    2. 사고유형 : 보이스피싱 기반 사회공학 공격 → 세일즈포스 환경 침해 및 고객정보 유출

    3. 유출규모 : 약 250만 건 (광고 고객 중소기업 CRM 정보)
    4. 유출항목
        - 고객 정보 : 이름, 기업명, 이메일 주소, 전화번호
        - CRM 데이터 : 고객 메모, 상담 내역
        - 내부 기록 : 계정 관리 관련 메타데이터 일부
             ※ 구글 측은 대부분이 공개 가능한 사업체 정보라 주장했으나, 2차 피싱·사기 악용 가능성 큼

□  해킹대응 타임라인  

    -  2025년 6월 : 샤이니헌터스, 구글 세일즈포스 환경 침투 → 광고 고객 데이터 유출
    -  2025년 8월 5일 : 구글, 공식 발표 및 초기 대응 상황 공개
    -  2025년 8월 8일 : 피해 고객 250만명 대상 이메일 통지 완료
    -  2025년 8월 이후 : GTIG(구글 위협 인텔리전스 그룹), 공격 기법·연관 그룹(UNC6040/UNC6240) 분석 보고서 발표

□  보이스 피싱 기반 사회공학 공격   

 

□  홈페이지 개인정보 유출 사과 공지   

  (현재까지 SFA 홈페이지에서 별도 사과 공지는 확인되지 않음)

 
□  대응내역  

    -  세일즈포스 Data Loader·외부 앱 접근 권한 최소화
    -  보안 모니터링 및 세일즈포스 쉴드(Transaction Security Policies) 활성화
    -  VPN·TOR 기반 접근 시도 차단 정책 강화
    -  피해 고객 대상 추가 피싱·사기 주의 권고

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       -  세일즈포스 외부 앱 접근 통제 및 화이트리스트 관리
       -  OAuth 인증 코드 보호 절차 강화 및 자동 만료 설정
       -  Salesforce Shield, Event Monitoring 기반 실시간 위협 탐지
       -  VPN·TOR 트래픽 차단을 위한 네트워크 정책 강화

    2. 관리적 조치
       -  임직원 대상 보이스피싱 대응 교육 정례화
       -  CRM 등 SaaS 환경 접근 시 다중 인증(MFA) 강제 적용
       -  해킹 피해 발생 시 72시간 내 규제기관 및 고객 통지 의무 강화
       -  글로벌 기업·고객사 공동 보안 훈련 및 인텔리전스 공유

□  관련기사(출처)  

• 구글, 보이스피싱 당해 광고 고객 250만명 정보 유출 - 보안뉴스
• “IT 지원팀입니다” 보이스피싱에 구글·샤넬 등 20개 기업 뚫렸다 - 보안뉴스

 

감사합니다.