[뉴스스페이스=이은주 기자] HR기업 워크데이가 대규모 기업 해킹 공격으로 피해를 입었다. 글로벌 인사관리(HR) 소프트웨어 기업 워크데이(Workday)가 2025년 8월 18일(현지시간), 해커들이 소셜 엔지니어링 기법을 활용해 제3자 고객 관계관리(CRM) 플랫폼을 침해해 사용자 이름, 이메일 주소, 전화번호 등 비즈니스 연락처 정보가 대규모로 유출됐다고 공식 발표했다.

특히 워크데이는 1만1000개 이상의 기업 고객사 네트워크에 영향을 미쳤다고 밝혔다.

BleepingComputer, TechCrunch, Yahoo Finance, The Record, Computer Weekly의 보도에 따르면, 이 침해는 약 2주 전인 8월 6일에 발견됐지만, 회사는 금요일 저녁까지 기다려서 이 사건을 공개적으로 공시했다. 다만 고객 시스템 내부나 직원 개인정보 등 핵심 데이터는 침해되지 않은 것으로 알려졌다.

이례적으로 워크데이는 침해 알림 블로그 게시물에 "noindex" 태그를 추가하여 검색 엔진이 해당 공지사항을 색인하지 못하도록 했다. 

워크데이는 이번 침해가 ‘Data Loader’ 등으로 위장된 악성 OAuth 애플리케이션 사용에 따른 것으로, 해커들이 IT 또는 HR 직원 행세를 통해 직원들을 속이는 음성 피싱 수법을 구사했다고 설명했다. 해커들은 맞춤형 파이썬 스크립트를 이용해 대량의 고객 데이터를 추출한 것으로 조사됐다.

이번 사건은 명품 브랜드 루이비통·디올·티파니, 글로벌 IT기업 구글, 항공사 콴타스, 통신사 시스코 등 세계 주요 대기업의 Salesforce CRM 데이터베이스에 연쇄적으로 발생한 ‘ShinyHunters’ 그룹 주도의 광범위한 사이버 공격 캠페인의 일부로 확인됐다.

ShinyHunters는 2020년 출현한 금융 목적의 사이버 범죄 집단으로, 최근에는 미국 당국이 2025년 6월 주요 인물을 기소하는 등 집중 단속도 이뤄지고 있다. 이 그룹은 ‘UNC6040/UNC6240’이라는 코드명으로도 불리며, Salesforce CRM 인스턴스를 대상으로 한 조직적 ‘사회공학’ 공격을 전개해 왔다.

이들은 음성 피싱과 악성 OAuth 앱을 조합해 다중 인증(MFA)을 우회한 뒤, 수백만 건에 달하는 고객 연락처 및 내부 영업 데이터 탈취에 성공했다. 금융·기술 서비스 및 명품 브랜드 등이 주요 표적이다.

워크데이 측은 “이번 침해는 제3자 CRM 시스템에 국한되며, 고객 테넌트나 인사정보 등 민감 데이터 접근은 없었다”고 밝혔지만, 유출된 연락처 정보가 향후 추가적인 피싱 공격 및 사회공학 사기에 악용될 우려가 크다고 경고했다.

특히 워크데이가 Fortune 500 기업의 급여·복리후생·직원 기록을 관리하는 핵심 플랫폼임을 고려할 때, 공급망 보안이 큰 도전으로 떠오르고 있다는 지적이다.

이번 해킹은 기술적 취약점보다는 ‘사람’을 노리는 진화된 사이버 범죄 전략의 일환이다. 구글 위협 인텔리전스 그룹(GTIG)은 “공격자들이 신뢰를 기반으로 다중 인증을 우회하고 클라우드 시스템에 지속적으로 접근하는 신종 수법”이라며 이번 캠페인을 ‘사이버범죄 진화의 신호탄’으로 평가했다.

전문가들은 워크데이 사건이 세계적 공급망 보안의 허점을 드러낸 사건으로, 기업들이 내부 보안 강화뿐 아니라 제3자 서비스 업체에 대한 보안 관리 감독을 한층 강화해야 하는 전환점이 될 것이라고 분석한다.

또한 ShinyHunters 등이 데이터 유출을 무기 삼아 몸값 요구와 협박을 동시에 전개하는 심리전적 갈취(랜섬 및 데이터 누출 사이트 운영)로 전술을 확대하고 있는 점에서, 기업들은 공격 대응책 마련에 촉각을 곤두세워야 한다고 경고한다.