[뉴스스페이스=이종화 기자] 최근 해커 집단 ‘Scattered LapSus Hunters’가 구글에 두 명의 핵심 보안 인텔리전스 직원 해고를 요구하면서 초유의 사이버 보안 위기 국면이 펼쳐졌다.

Hindustan Times, Economic Times, Resonance Security, ITWeb, Newsweek, cybersecuritynews, Industrial Cyber의 보도에 따르면, 이 해커집단은 텔레그램 채널을 통해 구체적으로 구글 인텔리전스 그룹의 주요 분석가 오스틴 라르센(Austin Larsen)과 구글 클라우드 사고대응 부서 맨디언트 CTO 찰스 카마칼(Charles Carmakal)의 해고를 강력히 촉구했다. 이를 거부할 경우 내부 데이터로 추정되는 민감 정보를 공개하겠다고 협박했다.

이 같은 위협은 2025년 8월, 구글의 중요한 써드파티 벤더인 세일즈포스가 해커 단체 ShinyHunters에 의해 뚫리면서 발생한 대규모 사업 연락처 유출 사태의 연장선상에 있다. 다행히 구글의 핵심 시스템이나 사용자의 비밀번호가 침해된 것은 아니나, 유출된 연락처 정보는 지메일 25억 사용자들을 겨냥한 정교한 피싱 공격 급증의 도화선이 되고 있다.

오스틴 라르센과 찰스 카마칼은 각각 구글 위협 인텔리전스 분석가와 맨디언트 컨설팅 CTO로서 세일즈포스 침해 사건을 포함해 다수의 사이버 범죄 네트워크 추적에 핵심 역할을 해왔다. 해커들은 자신들이 ‘Scattered Spider’, ‘LapSus’, ‘ShinyHunters’ 등의 악명 높은 해커 집단 연합임을 주장하지만, 보안 전문가들은 이들이 구글 시스템에 직접 접근했다는 증거는 없다고 평가한다.

오스틴 라르센도 "그들의 주장은 공개된 보도 내용을 바탕으로 한 것으로 보인다"고 밝혔다.

이번 협박은 세일즈포스 채팅 플랫폼 ‘Salesloft Drift’를 통한 공격에서 비롯된 복잡한 사건에서 유래한다. 공격자는 도난당한 OAuth 토큰을 이용해 2025년 8월 8일부터 18일까지 세일즈포스 인스턴스에 침투, 다량의 비즈니스 연락처 데이터를 빼내갔다.

구글에 따르면 현재 자사 플랫폼 내 계정 탈취 시도 중 약 37%가 피싱 및 음성피싱(vishing)에서 발생하며, 이들은 이번 유출 정보로 더욱 정교한 사칭 공격을 펼치고 있다. 이에 구글은 지메일 사용자들에게 즉각적인 비밀번호 변경과 2단계 인증 활성화를 권고했다.

보안 업계는 이번 사태를 사이버 범죄자들의 전술 변화로 주목한다. 기존 데이터 절도를 넘어 기업 핵심 인력 해고 압박 및 네트워크 조사 중단 요구라는 전례 없는 수위를 보이고 있다는 분석이다.

Scattered LapSus Hunters의 텔레그램 채널은 8월 초에 등장했다가 플랫폼 측에 의해 폐쇄된 바 있어 이들이 관심 끌기를 위해 조직적이고 지속적으로 활동하는 정황이 확인된다.

이번 사건으로 구글은 세일즈포스, Slack, Pardot 등 관련 통합 기능을 모두 중단하는 등 긴급 대응에 나섰으며, 세일즈포스 침해 조사를 위해 맨디언트를 고용해 원인 규명에 나섰다. 이번 사건은 OAuth 토큰 등 합법적 접근 권한 탈취를 통한 ‘권한 확산’ 공격 위험을 전 세계 클라우드 보안 업계에 각인시키는 계기가 됐다.

이번 해킹 사태는 AI와 소셜 엔지니어링을 결합한 진화하는 공격 수법과 더불어, 클라우드 서비스와 서드파티 연동의 복잡성이 보안 취약점으로 작용하는 현실을 적나라하게 보여준다. 전문가들은 기업들이 디지털 전환 가속에 따른 보안 인프라 투자 부족과 내부 권한 통제 허점 개선을 시급히 서둘러야 한다고 경고하고 있다.

국내외 보안전문가들은 "한국에서도 SK텔레콤, 예스24, 롯데카드, 잡코리아 알마몬 등 대표 상위기업들의 해킹사건이 연이어 발생해 위기감이 고조되고 있다"면서 "이번 구글 협박과 세일즈포스 유출 사태는 전 세계 IT 기업 및 사용자에게 사이버 보안 위협의 심각성을 재차 환기시키며, 비단 기술적 대응뿐만 아니라 조직 내 인적·정책적 보안 강화가 절실함을 입증하는 사건으로 기록될 전망이다"고 강조했다.