- BPO(비즈니스 프로세스 아웃소싱) 업체를 통한 Zendesk 지원 티켓 대규모 유출: 신뢰관계 악용으로 내부 시스템과 고객 데이터 동시 노출 심각성 급증
- 공급망 보안 사각지대 붕괴: BPO/3자 채널 일상적 실시간 접근 허점이 연쇄 피해 확대 핵심 요인으로 부상
- 협력사 생태계 전체 검증 필요한 시점: 최소 권한 원칙·정보 분류·실시간 협력사 모니터링 등 적극적 거버넌스 요구 지속
기업 신뢰 관계가 곧 보안 취약점이 되는 현실—전통 보안의 한계를 뛰어넘는 협력사 관리가 요구됩니다.
2. 사건 개요: UNC6783, BPO, Zendesk 지원 티켓 공격의 배경
Google의 보안 연구팀은 최근 새로운 위협 행위자로 지목된 UNC6783이 여러 업종에 걸친 영향력 있는 기업들을 대상으로 BPO(비즈니스 프로세스 아웃소싱) 공급자를 침해하고 있다고 공식 보고했다. 이 공격의 핵심 수단은 기업 고객 지원 시스템의 대표적 솔루션인 Zendesk에서 생성되는 지원 티켓이다. 공격자들은 BPO 협력사를 경유해 해당 기업의 Zendesk 지원 티켓에 무단 접근하는 데 성공했으며, 이를 통해 고객 정보, 내부 시스템 세부 정보, 미해결 이슈 등 민감 데이터가 노출되는 위험이 커졌다.
현재까지 피해 기업의 실명이 공개되진 않았으나, Google 보안 인텔리전스 팀은 이 공격이 진행 중임을 공식 경고했다. 단순 개별 기업 해킹이 아니라, 협력사와의 신뢰를 악용하는 공급망(서드파티) 공격이라는 본질이 보안 업계의 주목을 받고 있다.
3. 공격 기법 분석: BPO 침해와 공급망 신뢰 악용
공격 패턴 분석 결과, UNC6783은 장애가 많은 직접 침투 방식이 아닌 신뢰 관계를 역이용하는 전략을 구사한다. BPO 업체는 원청 기업의 고객 지원, 데이터 처리 등 실무를 맡다 보니 내부 시스템에 접근 권한을 갖는 경우가 많다. 공격자는 BPO의 보안 취약점을 노려 초기 발판을 마련한 후, 이를 이용해 Zendesk 지원 대시보드까지 접근했다.
Zendesk 지원 티켓에는 고객 불만뿐만 아니라, 문제 보고, 보안 인시던트, 내부 시스템 구조, API 연동 정보, 외부 협력사 통신 이력도 상세히 기록된다. 이 데이터를 일괄적으로 빼앗길 경우 고객 데이터 유출과 함께 원청 시스템 구조 파악, 추가 침투 경로 확보로 이어져 대형 사고로 확장 위험이 높다.
4. 유출 정보 및 잠재적 피해 분석
공식 보고에 따르면, 현재까지 노출이 확인된 주요 정보는 다음과 같다.
- 고객 개인정보: 이름, 이메일, 연락처, 계정 정보 등
- 내부 시스템 세부 정보: 서버 구성, 네트워크 구조, 취약점 등 기술적 논의의 일부
- 미해결 이슈 및 보안 인시던트: 패치되지 않은 결함, 진행 중인 사고 관련 내용
- 협력사 및 기타 파트너 정보: 외부 벤더 목록 및 내부 커뮤니케이션 내용
이 정보들은 단순 유출을 넘어 사회공학 기반 2차 공격(예: 피싱, 이메일 사기)이나, 아직 알려지지 않은 시스템 약점에 대한 추가 침투의 발판이 된다. 특히 미해결 보안 이슈 관련 정보 노출은 곧바로 추가 침입을 초래할 수 있어 위험이 크다.
5. 유사·과거 공급망 공격 사례와 현재 위협 흐름 비교
이번 BPO 공격은 과거 SolarWinds(2020), Kaseya(2021), Log4Shell(2021) 등에서 확인된 공급망 연쇄 피해와 맥락을 같이한다. 이들 사례의 공통점은 공격자가 직접 보안망을 뚫기보다, 신뢰할 수 있는 소프트웨어나 3자 서비스를 겨냥해 피해 범위를 확장하는 점이다.
특히 UNC6783 사건은 소프트웨어 공급사 대신 BPO라는 인적·운영 위탁 구조를 노린 점이 차별된다. BPO 특성상 민감 데이터가 실시간 유통되며 통상적인 모니터링 범위 밖에서 취약점이 방치될 수 있기에, 장기적이고 광범위한 피해 확산이 쉬운 측면이 있다.
6. 전문가 의견: 대응 방안과 산업별 영향
Google 및 다수 보안 벤더들은 이번 공급망 공격에 대한 대응책으로 아래 방안을 제시한다.
첫째, 최소 권한의 원칙을 철저히 적용해야 한다. BPO 업체의 Zendesk 권한을 필수 업무 범위로 엄격히 제한하고, 정기적으로 권한 감사를 실시해야 한다. 둘째, 지원 티켓 작성과 기록 정보를 내부적으로 분류·필터링해야 한다. 자격증명·내부 기술 정보 등 민감 정보 유입 차단 가이드가 필요하다. 셋째, 협력사(특히 BPO)의 보안 수준을 체계적으로 검증하고, 보안 인증·침투 테스트·사고 대응 체계를 주기적으로 확인해야 한다.
특히 금융·헬스케어·통신 등 고객 데이터 보유량이 많은 업종은 이번 사태에서 직접적 영향을 받을 수 있으며, 정보 유출이 각종 국내외 보안 규제(PIPL, HIPAA 등) 위반에 따른 법적 책임까지 불러올 수 있다.
7. 결론: 공급망 관리 및 신뢰 검증의 중요성 재조명
UNC6783의 공급망 공격 사례는 디지털 신뢰관계의 허점과 협력사 관리의 중요성을 다시금 경고한다. 원청과 협력사는 효율을 위해 신뢰를 기반으로 하지만, 이 신뢰가 언제든 보안 사슬의 취약점이 된다는 점을 간과하면 안 된다. 공격자들은 더 이상 단순히 방화벽을 노리지 않고, 합법적으로 주어진 권한을 역이용한다. 이에 모든 협력사까지 아우르는 사각지대 없는 보안 거버넌스가 필수적이다.
실시간 로그 분석, 비정상 협력사 접근 탐지, 정보 분류·권한 최소화 정책 등 공급망 보안은 이제 선택이 아닌 생존을 위한 조건임을 UNC6783 사례는 다시 한번 보여주고 있다.
- 공급망 신뢰 구조의 허점이 현실 위협으로 부상
- BPO 및 제3자 접근 권한, 주기적 감사 필수
- 모든 부문에서 협력사 보안 검증 체계화해야 함