샤이니헌터스 "콴타스·베트남 항공 등 39개 글로벌기업 데이터 해킹했다"

[시큐리티팩트=최석윤 기자] 악명 높은 해킹 조직 샤이니헌터스(ShinyHunters)와 그 제휴 해커들이 전 세계 주요 기업들을 상대로 대규모 데이터 유출을 감행했다고 주장해 파문이 일고 있다. 이들은 세일즈포스(Salesforce)의 취약점을 악용하여 총 39개 글로벌 기업으로부터 9억 8900만 개 이상의 기록을 훔쳤다고 밝혔다.

세일즈포스는 '클라우드 기반 고객 관계 관리(CRM)' 소프트웨어 분야의 세계적인 기업'이다. 이 회사는 기업이 고객과의 관계를 효율적으로 관리하고 비즈니스를 성장시키는 데 필요한 다양한 솔루션을 제공한.

이 해커들은 스스로를 "Scattered Lapsus$ Hunters"라고 칭한다. 이는 기존의 해킹 그룹인 스캐터드 스파이더(Scattered Spider), 랩서스$(Lapsus$), 그리고 샤이니헌터스(ShinyHunters)의 요소가 결합된 집단으로 알려졌다.

이들은 당초 세일즈포스와 영향을 받은 기업들에게 2025년 10월 10일 이전에 협상에 응할 것을 요구했다. 요구가 무시되자, 이들은 39개 대상 회사 중 6개 회사의 데이터를 먼저 유출 포털에 게시했다.

세계적인 항공사 및 소매업체 피해 집중

이번에 데이터가 공개된 6개 회사는 다음과 같다.

△콴타스항공 리미티드(Qantas Airways Limited)

△베트남 항공(Vietnam Airlines)

△후지필름(Fujifilm)

△갭, INC.(GAP, INC.)

△앨버트슨 컴퍼니, Inc.(Albertsons Companies, Inc.)

△엥지 리소스(Engie Resources)

공개된 데이터는 합법적인 것으로 보이며 심각한 노출을 야기한다. 해크리드닷컴(Hackread.com)의 분석에 따르면, 6건의 유출 기록 모두에는 이메일 주소, 성명, 주소, 전화번호 등 주요 정보들이 대거 포함되어 있다.

특히 콴타스 항공의 경우 유출된 데이터 세트가 153GB에 달한다. 여기에는 500만 개 이상의 레코드가 JSON(제이슨) 형식으로 담겨있다. JSON 형식은 데이터를 저장하고 주고받기 위해 만들어진 아주 가벼운 텍스트 기반의 데이터 타입이다. 유출된 데이터에는 여권 번호, 포인트 잔액, 상용 고객 번호, 계정 생성 타임스탬프 등 개인 식별 정보(PII: Personally Identifiable Information)와 내부 비즈니스 데이터가 결합되어 있어 그 심각성이 크다. 콴타스는 10월 12일 보안 권고를 통해 570만 명의 고객 데이터가 온라인에 게시되었음을 확인했다.

베트남 항공의 데이터 세트는 63.62GB로, 2300만 개 이상의 레코드를 포함하고 있다. 이 기록에도 PII, 기업 계정 데이터, 상용 고객 번호 등이 모두 포함되어 있다.

충격적인 대규모 데이터 유출 피해 기업 리스트

이번 침해는 광범위한 산업 분야에 걸쳐 발생했다. 해커들이 주장한 39개 피해 기업 목록에는 이름만으로도 충격적인 글로벌 브랜드들이 다수 포함되어 있다. 데이터 크기는 기가바이트(GB) 또는 테라바이트(TB) 단위로 표기되었다.

△소매 및 식음료: KFC, 아식스, 이케아, 펫코(Petco), 맥도날드, 아디다스, 샤넬, 홈디포, 월그린(Walgreens), 삭스 피프스 애비뉴(Saks Fifth Avenue), 까르띠에, 인스타카트, 앨버트슨스(Albertsons, Jewel Osco 등).

△여행 및 숙박: 메리어트, 에어프랑스 & KLM, 아에로멕시코 콴타스 항공, 베트남 항공.

△기술 및 서비스: UPS, 시스코, 디즈니/훌루, 트랜스유니온 구글 애드센스, HBO 맥스, 페덱스, 카맥스, 리퍼블릭 서비스, 트리플A.

△자동차: 토요타 자동차, 스텔란티스.

△기타: 1-800회계사(1-800Accountant), HMH(hmhco.com), 인스트럭처닷컴(Instructure.com, 캔버스-Canvas), 케링(Kering, 구찌, 발렌시아가 등), 판도라넷.

이 중에는 페덱스(1.1TB), UPS(91.34GB), 토요타 자동차(64GB) 등 대규모 데이터 세트가 유출된 것으로 주장되는 회사들도 있다.

불확실한 미래와 제기되는 보안 의문

해커들은 나머지 데이터의 미래에 대해서는 불확실한 메시지를 남겼다. 이들은 텔레그램을 통해 "다른 것은 유출되지 않을 것이다. 유출된 모든 것이 유출되었고, 우리는 유출할 것이 없으며, 분명히 우리가 가지고 있는 것들은 명백한 이유로 유출될 수 없다"라고 밝혔다. 이 발언은 나머지 데이터가 협상을 통해 이미 처리되었거나, 혹은 유출할 수 없는 더 민감한 내용임을 암시한다.

그러나 이미 유출된 것만으로도 피해는 충분하다. 검증될 경우, 이 데이터베이스 공개는 여러 산업 분야에 심각한 결과를 초래할 수 있다. 항공사, 소매업체, 에너지 회사 등은 개인 정보, 연락처 데이터, 내부 기록을 대량으로 저장하고 있다. 이러한 데이터가 노출되면 영향을 받은 개인들은 신원 도용 및 사기의 위험에 처하게 된다.

이번 유출은 세일즈포스 취약점에 대한 이전 주장과 연관되어 있다. 이 사건은 광범위한 데이터를 관리하고 저장하는 타사 플랫폼의 보안 관행에 대한 근본적인 질문을 던지고 있다. 기업들이 고객 정보를 안전하게 지키고 있는지에 대한 불신은 커질 수밖에 없다.

최석윤 기자 sukyoon@securityfact.co.kr 이 기자의 다른 기사 보기