해커 집단 ‘Scattered LapSus Hunters’, 구글에 최후통첩
#구글해킹 #사이버위협 #데이터유출
해킹 연합으로 알려진 ‘Scattered LapSus Hunters’가 구글에 두 명의 핵심 사이버보안 인력, 오스틴 라르센(Austin Larsen)과 찰스 카마칼(Charles Carmakal)의 해고를 요구하고 나섰습니다.
해커들은 구글의 네트워크 보안 조사를 중단할 것도 촉구하며, 요구가 받아들여지지 않을 경우 내부 데이터라 주장하는 정보를 공개하겠다고 위협했습니다. 이 같은 초강수는 텔레그램을 통해 게시됐으며, 해당 집단은 Scattered Spider, LapSus, ShinyHunters 등 악명 높은 사이버 범죄 조직의 연합임을 주장하고 있습니다.
Salesforce 침해와 대규모 피싱 공격 확산
이 사건은 8월, 사이버 범죄 집단 ShinyHunters가 세일즈포스(Salesforce)의 써드파티 벤더 시스템을 침해해 사업 연락처 정보가 유출된 직후 발생했습니다.
유출된 데이터는 약 25억 명에 달하는 지메일 사용자를 대상으로 한 정교한 피싱 및 비싱(vishing) 사기 시도에 활용되고 있습니다.
구글은 비밀번호나 핵심 시스템이 해킹되진 않았지만, 도용된 정보로 인해 실감나는 사칭 공격이 증가하고 있다고 경고했습니다.
대상 직원 소개 및 보안 업계 반응
-
오스틴 라르센: 구글 위협 인텔리전스 그룹(TIG)의 주요 위협 분석가로서, 최근의 Salesforce 해킹과 관련된 사이버 범죄 조직 추적에 중요한 역할을 했습니다.
-
찰스 카마칼: 구글 클라우드 사고 대응팀인 맨디언트(Mandiant) CTO로, 기업의 클라우드 보안 강화와 사고 분석을 진두지휘하고 있습니다.
보안 전문가들은 해커들의 해고 요구가 단순 데이터 절도에서 나아가, 기업에 직접적인 영향력을 행사하려는 새로운 전술의 시도로 보고 있습니다. Scattered LapSus Hunters는 최근 여러 해킹 사건 이후 텔레그램 채널에서 금지된 바 있어, 이번 행동이 이목을 끌기 위한 움직임일 가능성도 제기됩니다.
업계 대응 및 추가 조치
구글은 Salesloft, Salesforce, Slack, Pardot 등 관련 클라우드 서비스 간의 모든 통합을 긴급히 중단하고, Salesloft 측에서도 보안 전문 Mandiant를 통한 대대적 조사가 진행되고 있습니다. 업계에서는 도난당한 OAuth 토큰 등 합법 사용자 접근 권한을 악용한 ‘권한 확산’ 위협이 점점 더 커진다고 강조하며, Gmail 사용자들에게 비밀번호 재설정과 2단계 인증 활성화를 적극 권고하고 있습니다.
