[보스턴 인사이트 뉴스 홈] > [테크·비즈] > [일반]
Published

그레이터 보스턴 기반 CarGurus, ‘SSO 보이스피싱(vishing)’로 170만건 내부 기록 탈취 주장…ShinyHunters 전술 재등장

작성자: Daniel Lee · 02/21/26
참고 이미지

온라인 자동차 마켓플레이스 CarGurus가 사이버 범죄 조직 ‘ShinyHunters’의 데이터 유출 대상이 됐다는 보도가 나왔다. 공격자 측은 기업 문서와 개인정보(PII) 등을 포함한 ‘170만건(corporate records)’을 확보했다고 주장하며, 협상 시한을 제시한 것으로 전해졌다.

이번 이슈가 주목받는 지점은 서버 취약점보다 ‘사람과 절차’를 겨냥한 전형적인 침투 흐름이 반복된다는 데 있다. 보도와 위협 인텔리전스 자료에서 공통으로 언급되는 방식은 다음과 같다. (1) IT 지원팀을 사칭해 전화로 접근(보이스피싱, vishing)하고, (2) “MFA(다중요소인증) 설정 업데이트/계정 복구가 필요하다” 같은 명분으로 사용자를 급하게 만들며, (3) 조직이 쓰는 SSO(Okta·Microsoft Entra·Google 등) 로그인 화면을 흉내 낸 피싱 페이지로 유도해 자격증명과 인증 정보를 빼내는 패턴이다. 이후에는 SSO 세션을 발판으로 Salesforce·Microsoft 365·SharePoint·Dropbox 같은 SaaS에서 문서·내부 기록을 선별해 빠르게 외부로 반출하는 흐름이 관측된다고 알려졌다.

CarGurus의 ‘본사’ 표현은 자료에 따라 다르게 표기되는 경우가 있어 정밀한 표현이 필요하다. 대외 자료에는 케임브리지(Cambridge, MA)로 본사를 기재한 사례가 있는 반면, 회사는 보스턴 지역(예: 보스턴 시내 오피스)을 ‘글로벌 본부(Headquarters)’ 성격의 주요 거점으로 소개해 온 바도 있다. 독자 관점에서는 “보스턴권(그레이터 보스턴) 테크 기업에서 SSO 중심의 업무가 흔해질수록, 동일한 사회공학 전술이 재현될 수 있다”는 메시지가 핵심이다.

보스턴 지역 한인 유학생·교민 독자에게도 이 공격은 낯선 이야기가 아니다. 하이브리드 근무 환경에서는 전화·메신저로 ‘인증을 도와주겠다’는 상황이 쉽게 만들어지고, 인턴·신입도 SSO 계정과 여러 SaaS 접근 권한을 받는 경우가 많다. 현장에서는 “계정이 잠겼다”, “보안팀 확인이 필요하다”는 말에 당황해 MFA 코드를 읽어주거나 안내받은 링크로 로그인하는 사례가 반복된다. 다만 ‘온보딩 초기(입사 1~2주)나 야간·주말 온콜에서 성공률이 더 높다’ 같은 표현은 회사·조직·개인 환경에 따라 달라질 수 있어, 업계에서 흔히 언급되는 ‘방심하기 쉬운 상황(급박함, 피로, 확인 절차 생략)’이라는 일반적 경향으로 이해하는 편이 안전하다.

기업 관점의 리스크는 단순 유출에 그치지 않는다. SSO가 침해되면 여러 SaaS로 접근이 연쇄 확장될 수 있고, 계약·견적·인사·채용 자료처럼 협상력 있는 문서가 포함될 경우 금전 요구(갈취)로 이어질 가능성이 커진다. 또한 조사·복구·권한 재정비·대외 커뮤니케이션 과정에서 운영 비용이 급증할 수 있다.

실무에서 자주 나오는 질문은 “MFA를 켰는데도 왜 뚫리나”다. 푸시 알림·SMS·일회성 코드 기반 MFA는 사용자가 ‘정상 절차를 진행 중’이라고 믿는 순간 통과될 수 있다. 공격자가 전화로 실시간 안내를 하며 사용자가 직접 승인하거나 코드를 입력하게 만들면, 시스템 로그에는 정상 로그인처럼 보일 여지도 있다.

현장에서 바로 적용 가능한 점검 항목(요약)

  • 개인/직원(유학생·인턴 포함)
  1. 전화·DM으로 온 ‘계정 복구/보안 점검’ 요청은 즉시 응답하지 말고, 회사의 공식 헬프데스크/티켓 시스템에 동일 요청이 있는지 먼저 확인한다.
  2. MFA 코드·푸시 승인은 누구에게도 공유하지 않는다(‘보안팀’ 명의라도 동일).
  3. 링크 클릭 대신, 본인이 저장해 둔 공식 로그인 주소로 직접 접속해 상태를 확인한다.
  • 팀/관리자
  1. 가능한 범위에서 피싱 저항형 MFA(보안키/패스키 등) 도입을 우선 검토하되, 전사 도입이 어렵다면 고권한 계정부터 단계 적용한다.
  2. 새 기기 등록·해외/익명 네트워크 로그인·대량 다운로드 등 고위험 행위를 ‘알림’이 아니라 ‘차단/추가 검증’으로 전환하는 정책을 점검한다.
  3. SaaS별 관리자 계정·연동 토큰·API 키를 재점검해 ‘SSO 1회 침해 = 전체 확장’이 되지 않도록 권한 분리를 강화한다.

이번 CarGurus 관련 보도는 특정 기업만의 문제가 아니라, SSO 의존도가 높은 미국 테크 현장에서 ‘사람을 속여 인증 절차를 통과시키는 공격’이 반복될 수 있음을 다시 보여준다. 향후 회사 측 공식 공지, 실제 유출 범위, 대응 조치가 확인되면 추가 업데이트가 필요하다.

[보스턴 인사이트 뉴스 홈] > [테크·비즈] > [일반]

댓글 작성

댓글 (0)

등록된 댓글이 없습니다.