미국 ‘배민’ 그럽헙, 1년만에 또 침해 사고

미국판 ‘배민’인 그럽헙(Grubhub)에서 정보 유출 사고가 발생했다. 공격자로 추정되는 건 샤이니헌터즈(ShinyHunters)이며, 현재 그럽헙은 이들로부터 금전 협박을 받고 있는 것으로 여러 외신들이 보도하고 있다. 

침투 경로

샤이니헌터즈는 세일즈포스(Salesforce)를 통해 그럽헙으로 침투한 것으로 보인다. 세일즈포스의 드리프트(Drift)라는 앱에서 사용되는 오오스(OAuth) 토큰을 훔친 뒤, 이를 활용해 그럽헙 내부 시스템에 접근했다고 보안 외신 블리핑컴퓨터와 테크레이더 등은 보도했다. 

세일즈포스는 고객 정보와 영업용 데이터를 저장 및 관리하는 시스템이다. 사용자들은 세일즈포스를 주로 클라우드 인프라에 연결해 사용한다. 즉, 고객 정보와 영업 비밀을 외부 서버에 두고 쓴다는 의미다. 드리프트는 이런 세일즈포스와 연동되는 실시간 채팅 및 상담 도구다. 세일즈포스 계정과 연결돼 중요한 정보를 앱끼리 주고 받는다. 즉, 드리프트가 침해되면 세일즈포스에 대한 접근 권한도 같이 탈취될 수 있다는 의미다.

샤이니헌터즈는 이런 드리프트를 제일 먼저 공략해 토큰을 가져갔다. 그리고 이것을 가지고 세일즈포스 자체에까지 침투했다. 그럽헙은 세일즈포스와 젠데스크(Zendesk)를 연동하고 있기도 했다. 젠데스크도 세일즈포스와 비슷한 고객 지원 플랫폼이다. 그럽헙은 고객 상담 기록을 이 젠데스크에 남기고 있었다고 한다. 그러므로 샤이니헌터즈는 고객 상담 이력을 상당량 가져갈 수 있었던 것으로 전해진다.

그럽헙 측은 “결제 정보나 주문 내역은 안전하다”고 발표했다. 하지만 젠데스크에는 주로 고객 이름과 이메일, 전화번호, 회사 측과의 대화 내용, 그 대화 내용에 따른 내부 메모 등이 저장돼 있기 때문에 ‘이론상’ 결제 정보와 주문 내역이 저장되지 않더라도 ‘아예 없다’고 장담하기는 힘들다. 앞으로 조사가 진행되면서 그럽헙의 주장은 얼마든지 바뀔 수 있다는 것이다.

소셜엔지니어링 재료들

설사 그럽헙의 주장이 사실이라고 해도 문제가 사라지는 건 아니다. 이름과 연락처, 회사와의 상담 내용이 유출된 것만으로도 사이버 공격자들은 정교한 소셜엔지니어링 공격을 실시할 수 있기 때문이다. 즉 이번 사건으로 샤이너헌터즈는 효과적인 후속 공격을 위한 알찬 재료를 확보한 것이라고도 할 수 있다. 다만 침해된 정보의 양이 얼마나 되는지는 그럽헙이나 샤이니헌터즈 모두 공개하지 않고 있어 피해 규모를 가늠하기는 어렵다.

그런 정보의 가치를 잘 알고 있기 때문인지 샤이니헌터즈는 현재 그럽헙에 돈을 요구하고 있다. 액수는 알려지지 않았으나 그 동안 샤이니헌터즈의 전적을 봤을 때 낮지 않을 것으로 예상된다. 샤이니헌터즈는 2024년 AT&T라는 거대 통신사로부터 100만 달러를 요구했고, 파워스쿨(PowerSchool)에서는 285만 달러를 요구했었다. 그럽헙 측도 최소 수십만 달러의 압박을 받고 있을 것으로 보인다.

문제는 샤이니헌터즈가 돈을 받은 후 ‘훔친 데이터를 폐기하겠다’는 약속을 잘 지키는 편이었느냐인데, 이에 대해서는 의견이 분분하다. 지켜졌다는 확실한 보도는 일단 존재하지 않는다. 다만 시끄럽게 논란이 되던 사건이 어느 순간 조용해진 건들이 있긴 한데, 이 경우 샤이니헌터즈와 피해자 간 은밀한 협상이 이뤄졌고, 샤이니헌터즈가 실제로 약속을 지켜 일을 더 키우지 않았던 거라고 해석할 수 있다. 하지만 돈을 한 번 받아놓고도 같은 피해자를 또 다시 노렸다는 의혹도 존재한다. 

무엇보다 샤이니헌터즈는 협상 실패 후 피해자의 데이터를 공개하는 것으로 악명이 높다. 이 때문에 샤이니헌터즈에 당한 피해자들은 큰 두려움을 갖는 편이다. 다만 그것이 꼭 ‘협상 타결’로 이어지는 건 아니다. 규제 당국은 “협박범들에게 돈을 주지 말라”는 입장을 고수하고 있기 때문이다. 이를 어길 경우 사안에 따라 오히려 피해자가 벌금을 내야 할 수도 있다. 

연간 행사?

그럽헙은 작년 2월에도 대규모 데이터 유출 사고를 겪은 바 있다. 당시도 파트너사 서비스를 통해 내부 계정이 침해됐었다. 당시 공격자들은 고객 정보뿐만 아니라 배달 기사 정보와 음식점 정보까지 전부 가져갔으며, 여기에는 피해 당사자들의 이름과 이메일 주소, 전화번호가 포함돼 있었다. 그 때도 그럽헙은 결제 정보는 무사하다고 발표했었다.

작년 사건의 경우 피해 규모가 ‘1700만개 계정 데이터’로 알려져 있는데, 그럽헙에서 공식적으로 확인한 수치는 아니다. 사건이 발생하고서 어느 정도 시간이 지난 뒤, 보안 업계에서 추정한 것이다. 이번 사건의 경우도 그럽헙이 끝까지 피해 규모를 밝히지 않을 공산이 큰 것은 이러한 전적 때문이다. 작년 사건의 배후에는 누가 있는지 아직 공개되지 않고 있지만, 샤이니헌터즈는 아닐 것으로 보인다. 샤이니헌터즈는 자신의 업적(?)을 시끄럽게 알리는 편이기 때문이다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Grubhub confirms data breach affecting customers and drivers - TechCrunch, 2025년
• Grubhub confirms data breach both drivers and customers affected - Cybersecurity Review, 2025년
• Grubhub Data Breach Exposes Customer and Driver Information - GRC Report, 2025년
• Grubhub confirms hackers stole data in recent security breach - BleepingComputer, 2024년

쿠팡 3,000만 건 개인정보 유출, 언론보도 및 지적에 무엇이 잘못됐고 무엇을 고쳐야 하는가

💡Editor Pick - 쿠팡 개인정보 유출 관련 언론보도에 대한 질문과 의견 - 사고 대응을 위해 단순한 점검, 인증, 제도 강화/개선이 아닌 환경 변화 필요 1. 기사와 발표의 모순을 짚다: 사실관계의 혼선과 잘못된 기술적 이해 쿠팡에서 3,000만 건이 넘는 개인정보가 유출된 것으로 확인되었다. 사건 관련 언론보도를 살펴보면 사고의 심각성만큼이나

The Tech EdgeDonghwi Shin