세계 최대 인적자원(HR) 기술 기업인 워크데이(Workday)가 최근 발생한 데이터 유출 사고에 대해 공식적으로 인정하였다.
이번 사건은 해커들이 제3자 고객 관계 관리(CRM) 데이터베이스에 접근하여 고객의 개인 정보를 탈취한 것으로 확인되었다.
특히 이 공격은 단순한 시스템 해킹이 아니라, 사람의 심리를 이용하는 교묘한 '사회공학적 공격'이었다는 점에서 그 심각성이 더욱 부각된다.
워크데이는 이번 침해로 인해 고객사들의 주요 인사 및 급여 정보가 담긴 핵심 데이터에는 접근이 없었다고 강조했으나, 유출된 비즈니스 연락처 정보가 2차, 3차 공격으로 이어질 가능성이 커 기업들의 긴장감이 고조되고 있다.
구글, 시스코, 콴타스 등 글로벌 대기업들이 이미 유사한 해킹 공격에 연달아 피해를 입으면서, 이번 워크데이의 사례는 클라우드 기반 서비스의 보안 취약성을 다시 한번 경고하고 있다.
HR 소프트웨어 워크데이 해킹, 그 배경과 과정
이번 워크데이 해킹 사건은 단순히 기술적 결함으로 발생한 사고가 아닌, 치밀하게 계획된 사회공학적 공격이었다. 해커들은 IT 또는 HR 담당자로 위장하여 직원들을 속이는 '음성 피싱(Vishing)' 수법을 사용했다. 이를 통해 다중 인증(MFA)을 우회하고, 악성 OAuth 애플리케이션을 침투시켜 CRM 데이터베이스에 접근하는 데 성공한 것으로 알려졌다. 이들은 워크데이의 핵심 시스템인 '고객 테넌트'가 아닌, 주로 비즈니스 연락처 정보를 저장하는 제3자 CRM 데이터베이스를 노렸다. 이 데이터베이스에는 이름, 이메일 주소, 전화번호 등의 연락처 정보가 포함되어 있었으며, 해커들은 맞춤형 파이썬 스크립트를 이용해 대량의 정보를 빼냈다.
이번 공격의 배후에는 '샤이니헌터스(ShinyHunters)'라는 악명 높은 해킹 그룹이 있는 것으로 추정된다. 이들은 2020년부터 활동하며 여러 기업을 대상으로 대규모 데이터 유출 사건을 일으켜 왔다. 최근에는 구글, 시스코, 콴타스 등 주요 기업의 Salesforce 데이터베이스를 연쇄적으로 공격하며 몸값을 요구하는 랜섬웨어 조직과 유사한 행태를 보이고 있다. 워크데이의 이번 사건 또한 이들의 광범위한 사이버 공격 캠페인의 일부일 가능성이 매우 높다.
데이터 유출 사고에 대한 워크데이의 대응과 논란
워크데이는 데이터 유출 사고 발생 이후 공식 블로그를 통해 침해 사실을 공시하였다. 그러나 해당 공지 게시물에 검색 엔진이 페이지를 무시하도록 지시하는 'noindex' 태그가 숨겨져 있었다는 사실이 드러나면서 논란이 일었다.
이는 소비자들이나 기업 고객들이 해당 정보를 쉽게 찾아볼 수 없게 만들려는 의도로 해석되어, 위기 소통 실패의 전형적인 사례라는 비판에 직면했다. 보안 전문가들은 투명한 정보 공개가 신뢰 회복의 핵심임에도 불구하고, 워크데이가 이를 회피하려는 듯한 모습을 보인 것은 매우 부적절하다고 지적한다.
사이버 공격의 새로운 트렌드, 사회공학적 해킹
최근 기업들을 노리는 사이버 공격의 주요 트렌드는 기술적 취약점보다는 '인간의 심리'를 파고드는 사회공학적 공격으로 변화하고 있다. 과거에는 복잡한 코드를 이용해 시스템의 허점을 찾는 데 집중했다면, 이제는 사람을 속여 원하는 정보를 얻어내는 방식으로 진화했다.
피싱, 스미싱, 음성 피싱(Vishing) 등이 대표적인 사회공학적 공격 기법이다. 공격자들은 기업의 직원이나 협력사를 대상으로 신뢰 관계를 형성하거나 긴급한 상황을 가장해 민감한 정보에 접근하거나 악성 프로그램을 설치하도록 유도한다.
이러한 공격은 기술적인 보안 시스템만으로는 막기 어려워, 임직원 개개인의 보안 의식과 교육이 더욱 중요해지고 있다.
기업이 마주한 새로운 보안 위협과 대응 전략
이번 워크데이 해킹 사건은 클라우드 기반 서비스와 공급망 전반에 걸친 보안 취약성을 명확하게 보여주는 사례이다.
특히 제3자 CRM 플랫폼에서 발생한 데이터 유출은 기업들이 자사 시스템뿐만 아니라, 협력사의 보안 수준까지 철저히 점검해야 함을 시사한다.
전문가들은 다음과 같은 대응 전략을 제언한다.
1. 임직원 대상의 정기적인 보안 교육 강화
-
사회공학적 공격의 다양한 유형을 실제 사례와 함께 교육하고, 의심스러운 이메일, 문자, 전화를 받았을 때의 대응 방안을 구체적으로 알려야 한다. 특히, IT/HR 부서를 사칭하는 공격에 대한 경계심을 높여야 한다.
2. 다중 인증(MFA) 시스템 전면 도입
-
사용자 계정 탈취를 막기 위해 비밀번호 외에 추가적인 인증 절차를 의무화해야 한다. 이는 해커가 비밀번호를 탈취하더라도 시스템에 접근하는 것을 원천적으로 차단하는 효과적인 방법이다.
3. 공급망 보안 관리 체계 구축
-
협력사 및 제3자 서비스 제공업체의 보안 수준을 정기적으로 평가하고, 계약 시 보안 관련 조항을 강화해야 한다. 공급망 전반에서 발생하는 잠재적 위험을 사전에 파악하고 관리하는 것이 중요하다.
4. 데이터 암호화 및 접근 제어 정책 수립
-
민감한 데이터를 저장할 때에는 반드시 암호화하고, 최소 권한 원칙(Principle of Least Privilege)에 따라 꼭 필요한 인력에게만 데이터 접근 권한을 부여해야 한다.
인사이트 박스 : 대한민국 기업이 나아가야 할 방향
한국 기업들은 이번 워크데이 사태를 타산지석으로 삼아야 한다. 특히 국내 다수의 대기업과 중소기업이 HR 및 CRM 솔루션을 클라우드 기반으로 사용하고 있으며, 이는 언제든지 유사한 공격의 표적이 될 수 있다는 것을 의미한다.
IT 인프라에 대한 투자를 늘리는 것뿐만 아니라, ‘사람’을 통한 보안 강화에 집중해야 한다. 즉, 기술적인 방어벽을 쌓는 동시에, 임직원 개개인이 보안의 최전선이라는 인식을 갖도록 지속적인 교육과 훈련을 제공해야 한다. 또한, 보안 사고 발생 시에는 사실을 투명하게 공개하고 신속한 조치를 취함으로써 고객과의 신뢰를 지키는 위기 관리 능력을 보여주는 것이 중요하다.
결론 및 종합적 전망
워크데이의 데이터 유출 사고는 단순한 해킹 사건을 넘어, 디지털 전환 시대에 기업들이 직면한 보안 위협의 본질을 보여준다.
해커들은 더 이상 복잡한 시스템의 약점만을 노리지 않고, 인간의 취약성을 파고드는 사회공학적 기법을 통해 공격의 성공률을 높이고 있다.
이번 사건을 계기로 기업들은 전통적인 방화벽과 같은 기술적 보안을 넘어, 임직원 보안 교육과 공급망 전반의 보안 관리, 그리고 사고 발생 시 투명하고 신속한 대응을 포함한 종합적인 보안 전략을 재수립해야 할 시점이다.