구글·루이비통·폰허브에 대학까지… 초대형 해킹 릴레이, ‘샤이니헌터스’
해킹 그룹 '샤이니헌터스(ShinyHunters)'가 이번에는 전세계 대학가까지 흔들고 있다. 이들은 세일즈포스를 경유한 공격으로 구글, 시스코, 워크데이, 루이비통·디올·티파니를 포함하는 LVMH 그룹, 에어프랑스-KLM 등 글로벌 기업을 잇달아 침해한 것으로 알려졌다.
샤이니헌터스의 이름은 최근 대형 침해 사고마다 반복해서 등장하고 있다. 2024년 스노우플레이크 클라우드 침해 사고를 시작으로 2025년에는 세일즈포스를 악용한 보이스피싱 캠페인을 통해 수십 개 기업이 피해를 입었다. 같은해 말에는 믹스패널을 경유한 공격으로 폰허브(Pornhub) 프리미엄 이용 기록 유출 위협과 사운드클라우드 계정정보 유출 사건에도 연루됐다. 이어 2026년에는 교육 플랫폼 캔버스(Canvas) 해킹 사건에도 이들의 이름이 거론됐다.
스노우플레이크 뚫고 티켓마스터·AT&T 강타
샤이니헌터스는 2020년 인도네시아 최대 전자상거래 기업 토코피디아(tokopedia)와 캐나다 스토리텔링 플랫폼 와트패드(Wattpad) 등에 대한 대형 데이터 유출 사건으로 다크웹에서 악명을 쌓은 그룹이다. 하지만 최근 들어 세계 보안 업계의 집중적인 주목을 받은 사건은 2024년 스노우플레이크 캠페인이라고 할 수 있다.
이들은 인포스틸러(Infostealer·정보탈취형) 악성코드로 확보한 자격증명을 이용해 스노우플레이크 고객사 계정에 침투했다. 특히 다중인증(MFA)이 적용되지 않은 환경을 집중 공략했다. 보안 업계는 이 캠페인으로 160여개 기업의 클라우드 환경이 노출된 것으로 분석했다.
대표 피해자는 미국 최대 규모 티켓 판매 회사인 티켓마스터(Ticketmaster)였다. 샤이니헌터스는 5억6000만명 규모의 고객 정보를 탈취했다고 주장하며 이를 50만달러(약 7억원)에 판매하겠다고 공개했다. AT&T도 같은 흐름에서 피해를 입었다. 1억1000만 명 규모의 통화·문자 메타데이터가 유출됐고, AT&T는 해커에게 37만달러(약 5억원) 상당의 몸값을 지불한 것으로 알려졌다. AT&T는 해당 해킹 사건과 그 이전인 2019년 해킹 건으로 소비자 소송을 당해 총 1억7700만달러(약 2500억원) 규모의 합의 판결을 감내했다. 스페인에서는 산탄데르은행(Santander)이 샤이니헌터스에게 3000만건의 고객 정보를 탈취당해 협박을 받았다.
2025년엔 세일즈포스 겨냥…구글·시스코·워크데이까지
2025년 들어 샤이니헌터스의 공격 무대는 세일즈포스 CRM 환경으로 옮겨갔다. 공격자들은 IT 지원 담당자를 사칭해 직원에게 전화를 걸었다. 이후 세일즈포스의 정상 도구인 데이터 로더(Data Loader)로 위장한 앱 설치와 8자리 디바이스 코드 입력을 유도해 오픈인증(OAuth) 토큰을 확보했다.
이 수법으로 IT 분야 글로벌 공룡인 구글과 시스코, 워크데이를 비롯해 에어프랑스-KLM, 아디다스, 콴타스, 알리안츠생명, LVMH 그룹 계열사인 루이비통·디올·티파니 등 세일즈포스를 사용하는 고객사들이 연쇄적으로 피해를 입었다. 구글 위협 인텔리전스 그룹(GTIG)은 관련 침투 활동을 UNC6040, 뒤이은 갈취 활동을 UNC6240으로 추적하며 샤이니헌터스 연계 클러스터로 분류했다.
세일즈포스를 통한 해킹 피해는 국내에도 영향을 미쳤다. 해외에서 발생한 LVMH 그룹 계열사 세일즈포스 보이스피싱 기반 침해에 한국 고객 정보가 포함되면서 국내 법인도 제재를 받은 것이다. 개인정보보호위원회는 2026년 2월 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아 등 명품 브랜드 3개사에 총 360억3300만원의 과징금과 1080만원의 과태료를 부과했다. 세일즈포스 계정 탈취와 권한 관리 부실이 국내 고객정보 유출과 과징금 리스크로 이어진 사례다.
같은 해 하반기에는 보이스피싱을 넘어 세일즈포스와 연동된 서드파티 앱의 OAuth 토큰을 직접 탈취하는 방식으로 전술이 고도화됐다. 드리프트(Drift), 게인사이트(Gainsight) 같은 세일즈포스 연동 서비스가 공격 경유지로 활용됐고, 수백개 세일즈포스 고객사가 추가로 노출됐다는 분석도 나왔다.
샤이니헌터스는 2026년 3월 '세일즈포스 익스피리언스 클라우드(Experience Cloud)' 환경을 이용해 약 400개 웹사이트와 100여개 핵심 기업을 침해했다고 주장하기도 했다. 이에 미국 금융산업규제기구(FINRA)가 금융권에 관련 경보를 발령하기까지 했다.
폰허브까지 번진 '데이터 갈취' 모델
샤이니헌터스의 표적은 전통적인 기업 IT 환경에만 머물지 않는다. 2025년 12월에는 세계 최대 성인사이트 폰허브의 프리미엄 이용자 데이터를 확보했다고 주장하며 공개 협박에 나서며 주목을 받았다.
이들이 주장한 데이터에는 이메일 주소, 접속 국가, 검색 키워드, 시청 영상 제목, 이용 시점 등 민감한 이용 기록이 포함됐다. 94GB, 2억건 이상의 규모였다. 기업 고객 정보뿐 아니라 개인의 사생활과 직결되는 데이터까지 갈취 대상으로 삼은 것이다.
폰허브 측은 핵심 시스템이 직접 침해된 것은 아니며, 제3자 데이터 분석 서비스 '믹스패널(Mixpanel)'을 통한 사고라고 설명했다. 다만 믹스패널은 자사는 2025년 11월 사고와 직접 관련이 없다고 부인했다. 유출 경위는 엇갈리지만, 샤이니헌터스가 민감도가 높은 이용자 정보까지 협박 수단으로 삼고 있다는 점은 분명해졌다.
체포에도 멈추지 않는 느슨한 익명 조직
프랑스 사이버범죄수사대는 2025년 6월 'ShinyHunters', 'Hollow', 'Noct', 'Depressed' 등의 핸들을 사용하는 20대 프랑스 국적자 4명을 체포했다. 이들은 브리치포럼스(BreachForums) 운영과 다수 침해 사건에 연루된 혐의를 받았다.
하지만 이들이 체포된 이후에도 샤이니헌터스 명의의 공격과 갈취 활동은 이어졌다. 2026년 4월에는 GTA 시리즈로 유명한 록스타 게임즈(Rockstar Games)의 신작 데이터를 탈취했다는 주장까지 나왔고, 한 달 뒤에는 마침내 캔버스 침해까지 터졌다. 일부 구성원 체포로 활동이 멈추지 않는 느슨한 생태계형 범죄 조직이라는 분석에 힘이 실리는 이유다.
9000개 대학 쓰는 캔버스까지 뚫었다
결국 샤이니헌터스의 최근 대형 표적은 교육 분야가 됐다. 인스트럭처(Instructure)가 운영하는 학습관리시스템(LMS) 플랫폼 캔버스는 미국을 중심으로 전 세계 약 9000개 교육기관이 사용한다. 샤이니헌터스는 이 플랫폼을 침해해 3.65TB 규모의 데이터를 탈취하고, 2억7500만 명의 학생·교직원 정보에 접근했다고 주장했다.
하버드 등 주요 대학에서는 시험 일정 차질과 포털 접속 장애가 잇따랐다. 캔버스 로그인 페이지와 시험 화면에 비트코인 요구 메시지가 노출된 사례도 보고됐다. 세일즈포스 해킹으로 글로벌 기업을 흔든 조직이 교육 플랫폼까지 흔들며 대학 수업과 시험 운영에도 영향을 준 것이다.
국내 교육기관도 무관하다고 보기 어렵다. 인스트럭처는 2025년 6월 국내 공식 파트너 라이너스와 협력해 한국 시장 진출을 공식화했다. 국내 대학과 교육기관의 글로벌 LMS 도입이 늘어나는 상황에서, 캔버스 같은 해외 교육 플랫폼 침해는 한국 이용자 데이터와 학사 운영 리스크로 번질 수 있다. 다만 현재까지 국내 대학 피해가 공식 확인된 것은 아니다.
샤이니헌터스가 캔버스 시스템에 침입한 경로로는 별도 신원 확인 없이 만들 수 있는 교사용 무료 계정(Free-For-Teacher) 관련 취약점이 지목됐다. 인스트럭처는 5월 12일 공격자와 합의에 도달해 탈취 데이터 반환과 삭제 확인 자료를 받았다고 밝혔다. 스티브 데일리 인스트럭처 최고경영자(CEO)는 이후 고객들에게 보낸 사과문에서 결국 금전 지급 사실을 인정했다. 다만 지급 규모는 공개하지 않았다.
글로벌 SaaS 노린 공격, 국내도 피해권
2024년 이후 샤이니헌터스 공격 수법의 공통점은 플랫폼 자체의 기술적 결함보다 운영 과정의 빈틈을 집요하게 노린다는 점이다. 스노우플레이크에서는 다중인증(MFA) 미적용 계정, 세일즈포스에서는 오픈인증(OAuth) 승인과 게스트 권한, 폰허브에서는 제3자 분석 서비스, 캔버스에서는 무료 교사용 계정이 각각 약한 고리로 작동했다.
대형 서비스형소프트웨어(SaaS)는 기업과 기관 업무의 핵심 인프라로 자리 잡았다. 계정 발급, 외부 앱 연동, 권한 위임 구조는 업무 효율을 높이지만, 통제가 느슨하면 공격자에게도 같은 길을 열어준다. 샤이니헌터스는 이 지점을 파고들어 데이터 탈취와 공개 협박을 반복했다.
문제는 이런 공격이 해외 기업에만 그치지 않는다는 점이다. 스노우플레이크, 세일즈포스, 캔버스 등은 특정 국가나 업종에 한정된 서비스가 아니다. 전 세계 기업과 기관이 함께 쓰는 업무 플랫폼이다. 공격자가 해외 본사나 글로벌 서비스 계정을 침해하더라도, 그 안에 한국 고객 정보나 국내 이용자 데이터가 포함돼 있으면 국내 피해와 제재로 이어질 수 있다. LVMH 그룹 계열사 침해 이후 국내 법인에 과징금이 부과된 사례가 이를 보여준다.
한 보안 업계 관계자는 "샤이니헌터스의 공격은 고도화된 해킹 기술보다 허술한 운영 통제에서 시작되는 경우가 많다"며 "SaaS를 많이 쓰는 조직일수록 MFA 강제 적용, 서드파티 앱 권한 최소화, 계정 발급 정책 점검, OAuth 승인 절차 관리, 사회공학 공격 대응 훈련 등 계정과 권한 관리 체계를 먼저 점검해야 한다"고 말했다.
정종길 기자
jk2@chosunbiz.com
Copyright © IT조선. 무단전재 및 재배포 금지.