TTESays

[TE머묾] 세일즈포스 사건의 전말이 궁금하다

문가용 기자

Published: 02:20, 12 Oct 2025 (Updated: 14:05, 15 Oct 2025)

💡

Editor's Pick
- 뭔가 커다란 사건이 일어난 것 같긴 한데...
- 매체마다 조금씩 다른 정보 보도...무슨 일 있던 걸까?
- 사건 전말 알 수 없는 사이, 공격자의 일방적 주장만 계속돼

콴타스항공의 고객 데이터가 공개됐다. 협상 기한이 지나자 항공사를 공격한 해커인 스캐터드랩서스헌터스(Scattered Lapsus$ Hunters)가 500만 명의 개인정보를 고스란히 노출시킨 것이다. 이들은 이미 지난 주부터 자신들의 웹사이트를 통해 “돈을 내지 않으면 확보한 데이터를 공개할 것”이라고 협박했었고, 이번에 자신들의 말이 허언이 아님을 증명했다.

사건의 대략
이 사건은 지난 6월 처음 세상에 알려졌다. 콴타스항공사의 세일즈포스(Salesforce) 데이터베이스에서 대량의 데이터가 탈취된 것으로 처음 알려졌는데, 알고 보니 스캐터드랩서스헌터스가 콴타스항공만이 아니라 세일즈포스 고객사 다수로부터 고객 이메일 주소와 전화번호, 생년월일 등 각종 개인정보와 민감 정보를 훔쳐냈다는 사실이 확인됐다.

하지만 콴타스 외에 구체적인 피해 기업에 대해서는 어디서도 공개되거나 보도되지 않았었다. 그러다가 10월 3일, 해커는 위에서 언급한 것처럼 협박을 시작했는데, 이 때 대상은 세일즈포스였고, 고객사들은 아니었다. 물론 세일즈포스를 협박한다는 것 자체가 사실상 고객사를 협박하는 것과 같지만, 일단 협박 편지의 받는 사람은 세일즈포스로 설정돼 있었다.

그러면서 이 사건의 피해 기업들이 전부 공개됐다. 총 39개 혹은 44개로, 토요타, 페덱스, 디즈니, 리퍼블릭서비스, UPS, 에어로멕시코, 홈데포, 매리어트, 베트남항공, 월그린즈, 맥도널드, KFC, 갭, 후지필름, 이케아, 구글 애드센스, 시스코, 아디다스, 퓨마, 카르티에, 인스타카트 등 유명 기업들이 다수 포함돼 있었다. 다수 외신들이 이 시점부터 “스캐터드랩서스헌터스가 수억 개의 기록을 보유하고 있다”고 보도하기 시작했다.

스캐터드랩서스헌터스가 공개한 협박문[자료: Help Net Security]

💡

여기서 잠깐!
스캐터드랩서스헌터스는 단일 해킹 그룹의 이름이 아니다. 스캐터드스파이더(Scattered Spider), 랩서스(Lapsus$), 샤이니헌터스(ShinyHunters)를 한꺼번에 지칭하는 것이다. 이 세 그룹이 연합해 작전을 펼친 것으로 추정되고 있으며, 이 때문에 스캐터드랩서스헌터스라는 이름이 외신에서는 사용되고 있다.

애꿎은 콴타스항공, 이 사건의 상징과 같은 이름
콴타스항공은 이 사건과 관련하여 가장 많이 언급되는 기업이다. 사실상 이 사건의 상징과 같은 존재가 됐다. 실제로 공격자들은 세일즈포스를 공격했음에도, 콴타스항공의 고객 데이터를 탈취했다고 주장하며, 샘플까지 몇 차례 공개했었다. 콴타스도 해킹 피해 사실을 인정했으나, 고객들의 신용카드 정보나 여권 정보는 안전하다고 주장해 왔었다.

그러다가 이번에 협박이 통하지 않자 스캐터드랩서스헌터스가 ‘정보 공개’라는 강력한 카드를 빼든 것인데, 역시 ‘첫 타자’는 콴타스항공사였다. 콴타스항공의 고객 정보를 공개한 것이다. 가디언에 의하면 이들은 “몸값을 내지 않았기 때문에 벌어진 일”이라고 주장하며 “다음 뉴스 헤드라인이 되고 싶지 않다면 돈을 내라”고 재차 협박했다고 한다. 다만 이것이 콴타스항공에 한 말인지, 세일즈포스에 한 말인지는 명확하지 않다.

아직 콴타스항공은 공개된 정보에 대해 별 다른 성명을 내지 않고 있으며, 세일즈포스도 범인들과 협상하지 않겠다는 스탠스를 유지하고 있다. 하지만 이는 해커가 정보를 공개하고서 시간이 많이 흐르지 않았기 때문일 수도 있다. 이제 적잖은 분량의 데이터가 공개된 만큼, 다른 움직임이 있을 수도 있다.

사건의 전말, 아직도 안개 속
이 사건을 처음부터 현 시점까지 시간별로 깔끔하게 정리하기란 어렵다. 아직 밝혀진 사실이 거의 없다시피 하고, 심지어 그 얼마 되지 않는 사실도 뉴스 별로 다르게 보도되기 때문이다. 이를 테면 이번에 공개된 피해 기업의 수를 44개로 보도하는 곳도 있고, 39개라고 하는 곳도 존재한다. 어느 것이 맞는지 아무도 알 수 없다.

공격자들이 세일즈포스의 데이터를 훔쳐갔다고 하는데, 세일즈포스 자체가 뚫린 것인지도 아직 명확하지 않다. 세일즈포스는 “자체 검사를 해봤지만 우리 인프라가 침해됐다는 증거는 발견할 수 없었다”는 입장을 고수하고 있다. 정확히 말을 하지는 않았지만 ‘고객사의 관리 부실 및 실수’에 책임을 돌리고 있다고도 볼 수 있는 말이다. 세일즈포스 고객사 직원 중 누군가 계정을 탈취당했다든가, 세션 토큰을 도난당했다거나, 설정에서 실수를 저질렀다면 지금과 같은 사건이 일어날 수도 있는 것도 사실이다. 실제 대다수 클라우드 관련 정보 유출 사고는 고객사 과실에 의한 것이기도 했다.

스캐터드랩서스헌터스가 정말로 어마어마한 수의 정보를 가져갔는지도 아직 확실하지 않다. 이들은 자신들이 10억 개 기록을 가져갔다고 주장하는데, 어떤 때는 15억 개 기록이라고도 했다가, 또 어떤 때는 760개 기업을 털었다는 등으로 말을 살짝 바꾸기도 한다. 이것이 확인되려면 피해자 측에서 정확한 숫자를 투명하게 공개해야 하는데, 아직까지 대부분 기업들은 “우리 세일즈포스 인스턴스는 무사하다”는 발표만 하고 있어 상호 대조 및 확인이 요원하다.

심지어 이번에 공개된 데이터가 콴타스항공사만의 것이 아니라는 주장도 있지만, 이 역시 명확한 근거는 없다. 그 외에, 공격자가 정확히 어떻게 공격을 성공시켰는지, 성공시킨 것은 맞는지, 어느 시점에 공격을 실시한 것인지 역시 알 수 없다. 이 역시 피해 기업들이 스스로 조사해 투명하게 밝혀야 윤곽이 잡힐 만한 것들이다.

이 시점에서 떠오르는 ‘프랙’ 사건
공격자의 주장대로라면 이번 일은 수십 억 개인정보 혹은 민감 정보가 단 하나의 기업을 통해 도난 당한 사건이다. 어마어마한 일이다. 심지어 4개월 전부터 세상에 알려진 사건이기도 하다. 그런데도 사건의 전말이 정확히 드러나지 않고 있다는 것 자체가 큰 시사점을 갖는다. 피해 당사자들의 적극적인 협조가 없다면 아무리 큰 사건도 흐지부지 묻힐 수 있다는 걸 보여주기 때문이다.

이는 지난 여름 데프콘(DEF CON)에서 발생한 대량 정보 공개 사건을 떠올리게 한다. 프랙(Phrack)이라는 잡지를 통해 한 APT 공격자의 시스템으로부터 화이트 해커 둘이 훔쳐낸 정보가 통째로 공개된 것인데, 여기에 한국 기업과 기관들이 침해됐다는 걸 보여주는 정황들이 가득 포함돼 있었다. 공공 기관 비밀번호를 크래킹 시도한 흔적이라든가, 기업의 인프라에 침투해 들어갔음을 보여주는 지표들이었다. 다만, 그렇게 크래킹을 하거나 침투에 성공한 뒤에 한 일, 즉 실제 피해에 대해서는 알려진 바가 ‘아직도’ 없다. 피해 기업들이 적극 나서서 조사하고, 피해 사실과 공격 루트를 투명하게 공개해야 하는데, 그러지 않은 채 시간만 흐르는 것이다.

대문이 부서져 있고, 문고리마저 찌그러져 있으며, 여기 저기 서랍과 장롱들이 죄다 열려 있는데, 피해가 분명 있을 것만 같은 상황인데, 집주인이 신고를 하기는커녕 오히려 문을 닫고 ‘일단 핏자국도 없고, 금품이 사라진 것 같지도 않고, 모두가 무사하니 됐다’며 ‘우리가 알아서 처리하겠다’고 경찰을 되돌려 보내는 것과 비슷하다. 그 도둑 혹은 강도에 대한 단서를 수사관들에 제공해야 다른 집에 피해가 있기 전에 막을 가능성이 생기는 건데, 최초 피해자 측에서 집 안에 들어가 감감무소식인 것이다.

클라우드 시대에 투명성은 더 중요한 가치
해킹 피해를 입은 당사자가 스스로 나서서 ‘내가 이런 저런 피해를 이런 식으로 입었다’는 걸 공개적으로 발표하는 건 어려운 일이다. ‘공격자가 이런 식으로 공격하더라’, 라는 걸 공유한다는 건 ‘내가 이 부분에 미처 신경을 쓰지 못했다’는 걸 공개하는 거라, 누워서 침뱉기 느낌이 강하다. 그 ‘신경 쓰지 못했다’는 게 어떤 것에 관련된 것인지, 어느 정도나 신경을 못 쓴 것인지에 따라 강력한 후폭풍이 있을 수도 있으니, 기업들은 공개를 꺼릴 수밖에 없다.

위에서 언급한 ‘프랙 사건’에서 피해 기업과 기관들이 아직도 적극 나서지 않는 것을 이해 못할 건 없다. 나서봐야 언론과 소비자들의(혹은 유권자들의) 욕만 잔뜩 먹을 게 뻔하다. 뭉개고 앉아 있으면 언제고 지나간다. 아무 것도 하지 않는다고 욕 먹는 게, 뭔가 적극 하다가 욕 먹는 것보다 대부분의 경우 낫다. 혹자는 ‘이제 겨우 2달 정도 지난 시점이니 시간을 더 줘도 된다’고 말하기도 하는데 필자도 여기에 동의한다. 하지만 필자는 ‘시간을 무한정으로 준다 해도 나서는 이 아무도 없을 것’에 한 표 던진다. 아직은 투명해서 얻는 이익보다 손해가 더 크기 때문이다.

‘투명성’이 이익을 가져다주지 않는다는 건 시급히 해결해야 할 문제다. 왜냐하면 클라우드 시대의 깊은 곳으로 우리는 계속해서 걸어들어가고 있기 때문이다. 대표적인 클라우드 기반 서비스 제공 업체인 세일즈포스는 물론 그 고객사들까지, 즉 한 생태계에 함께 묶여 있는 자들이, 이번처럼 해킹 사건에 대해 함구하기로 담합하듯 결정한다면, 그 사건이 얼마나 크고 심각하든 세상에 알려지지 않게 된다. 그러면 이번 사건에서처럼 공격자는 천문학적인 숫자를 동원한 일방적 주장을 펼치면서 자신들의 업적을 자랑하며, 또 피해자를 압박할 수 있게 되고, 그럼으로써 항상 우위를 점하게 된다.

한 클라우드 생태계에서 벌어진 일은, 그 생태계에 속한 사람들이 가만히 있기로 하면 바깥으로 새나가지 않는다는 것이 현재 콴타스항공 사건(혹은 세일즈포스 사건)을 통해 드러났다. 생태계의 힘이 이런 식으로 발현되는 건 장기적으로 좋지 않다. 생태계 밖 우리, 당사자가 아닌 우리, 그 사건을 통해 교훈을 얻고 싶어하는 우리가 할 수 있는 일은 더 많은 정보가 나올 때까지 기다리는 것 뿐일까? 그렇다. 거기에 더해 투명해지기로 한 기업에 어떤 이익을 돌려줄 수 있을지를 고민하는 것 정도는 시작해볼 수 있다.

가시성 넘어 투명성? 벌써?
온프레미스에서 클라우드로 전환이 시작되면서 가장 많이 등장한 단어는 ‘가시성’이었다. 온프레미스, 즉 내 건물 안의 내 서버실을 중심으로 구축된 닫힌 망 안에서 일어나는 일들은 파악하기가 용이했었다. 손바닥 들여다보듯 훤히 알 수 있었다. 클라우드는 내 망을 건물 밖 다른 기업의 서버실(혹은 데이터센터)로 이전시켜버렸다. ‘건물 밖’이라 함은 다른 도시, 심지어 다른 나라일 수도 있다. 손바닥 안에 있던 것이, 온 세상으로 흩어져버린 것이다. 그래서 한 눈에 볼 수도, 훤히 알 수도 없게 됐다. ‘가시성’ 즉 ‘볼 수 있어야 한다!’는 가치는 이 맥락에서 강조됐었고, 지금도 그러하다.

클라우드 시대의 ‘가시성’을 풀어쓰면, ‘네가 이용하는 남의 인프라가 어떤 식으로 움직이는지 볼 수 있어야 그 안에서 움직이는 네 데이터를 보호할 수 있지 않겠느냐’가 된다. 즉, ‘데이터 보호’라는 측면에서 강조된 말이었다. 아직까지 다 이뤄내지 못한 꿈 같은 경지라고도 할 수 있다. 클라우드는 계속 커져가고, 복잡해지고 있으며, 데이터는 매일 테라바이트, 아니 페타바이트 단위로 생성되니, 누가 어떻게 가시성을 온전히 확보할 수 있을까 싶다.

이제 이 ‘가시성’은 아직 정복되지도 않았는데 벌써 ‘투명성’이라는 표현으로 확장되는 중이다. 클라우드 고객사가 혼자서 아무리 애써봐야 도무지 가시성을 다 확보할 수도, 확보한 걸 유지할 수도 없는 상황이니, 모두가 투명하게 가진 패를 공개해야 안전을 도모할 수 있다는 쪽으로 생각이 옮겨간 것이다. 이는 클라우드 제공 기업과 사용 기업 모두에 요구되기 시작했다. 제공사는 인프라나 서비스와 관련된 정보를, 사용자는 이용 현황에 관한 내용을 밝힘으로써 서로가 ‘윈윈’할 수 있다고 하는데, 그 ‘윈윈’이 구체적으로 무엇인지 제시하는 게 이 ‘투명성’ 논의의 다음 차례가 되어야 할 것이다.

이번 사건에서 원치 않게 ‘얼굴 마담’이 된 콴타스항공이, 차라리 이를 계기로 투명성의 대표주자가 된다면 사건은 어떤 식으로 전개될까? 자기의 실수든, 세일즈포스의 실수든, 시원하게 까발려 사건의 전말을 재구성하는 데 혁혁한 공을 세웠을 때, 우리는 콴타스항공이 이익을 취할 수 있도록 해야 할까, 아니면 치명적 실수에 대한 벌을 줘야 할까? 아무 결정도 할 수 없어 관전 포인트만 제시하는 필자는, 방구석에서 혼자 흥미진진하다.