샤이니헌터스, 구글 보안도구 ‘아우라인스펙터’ 무기화... 세일즈포스 고객사 400곳 노렸다

오픈소스 보안도구 ‘AuraInspector’ 개조한 데이터 탈취 공격
세일즈포스 Experience Cloud 설정 허점 악용, 400개 기업 침투 주장

[보안뉴스 김형근 기자] 구글 맨디언트의 오픈소스 보안 도구인 ‘아우라인스펙터’(AuraInspector)를 악용해 세일즈포스 고객사를 겨냥한 대규모 공격을 벌이고 있는 것으로 나타났다.

[출처: gettyimagesbank]

공격자들은 원래 취약점 진단용으로 개발된 이 도구를 개조해 실제 데이터를 강제로 빼내는 ‘엑스필트레이션’(Exfiltration) 기능을 추가한 뒤 공격에 활용하고 있다.

이들은 세일즈포스 익스피리언스 클라우드(Experience Cloud)의 설정 허점을 집중적으로 노린다. 특히 게스트 사용자(Guest User) 프로필 권한이 과도하게 허용된 사이트를 정밀하게 탐색해 기업 내부의 민감 데이터를 탈취하고 있다.

샤이니헌터스는 개조된 도구를 이용해 공용 API 엔드포인트 ‘/s/sfsites/aura’를 대량 스캔하며 인증 없이 접근 가능한 CRM 오브젝트를 식별한다. 이후 해당 객체에 저장된 데이터를 외부로 유출하는 방식이다.

또한 공격자들은 박스카잉(Boxcarring) 기법을 활용해 단 한 번의 요청으로 최대 250개의 명령을 통합 실행함으로써 데이터 탈취 속도를 크게 높인다.

이와 함께 그래프QL(GraphQL) 컨트롤러의 허점을 이용해 복잡한 데이터 조인(Join) 연산을 수행하고, 수천 건의 민감 레코드를 제한 없이 수집하는 공격도 병행하는 것으로 알려졌다.

샤이니헌터스는 현재까지 약 400개 기업을 침투했다고 주장하며, 탈취한 데이터를 기반으로 대규모 유출 협박 캠페인을 진행 중이다.

세일즈포스는 이번 사건이 플랫폼 자체 취약점이 아니라 고객사의 보안 설정 오류를 노린 공격이라고 설명했다. 특히 보안 담당자가 흔히 놓치는 객체 공유 규칙(Sharing Rules) 설정 오류를 악용해 내부 기밀과 고객 데이터에 접근한 사례가 확인됐다고 밝혔다.

탈취된 데이터에는 이름, 전화번호 등 개인정보가 포함된 것으로 알려졌다. 이에 따라 2차 보이스피싱 등 추가 범죄로 악용될 가능성도 제기된다.

세일즈포스는 대응 방안으로 모든 데이터 객체(Object)의 외부 접근 권한을 비공개(Private)로 설정하고, 인증되지 않은 게스트 사용자의 공용 API 접근을 차단할 것을 기업들에게 권고했다.

이번 사건은 오픈소스 보안 도구가 공격자에게 정밀한 공격 지도를 제공할 수 있다는 점, 그리고 보안 도구의 오용 및 공급망 위험성을 다시 한 번 보여주는 사례로 평가된다.