TELUS Digital 침해 사건 - ShinyHunters의 BPO 공급망 공격

[ 인시던트 개요 ]

- 최초 침해 시점  -  2025년 하반기 추정  ( Salesloft Drift 침해 이후 )
- 공식 확인 일자  -  2026년 3월 12일
- 공격자  -  ShinyHunters  ( 영어권 국제 사이버범죄 네트워크 The Com 소속, FBI 확인 )
- 피해 대상  -  TELUS Digital  ( 캐나다 Telus의 BPO 및 디지털 서비스 자회사 )
- 주장 피해 규모  -  700TB  -  1PB  ( BleepingComputer 독립 확인 불가 )
- 요구 몸값  -  6,500만 달러  ( TELUS Digital 거부, 협상 단절 )
- 공격 벡터  -  2025년 Salesloft Drift 침해에서 획득한 Google Cloud Platform 자격증명
- 현재 상태  -  수사 진행 중, 피해 고객사 28개 이상으로 추정  ( 명단 미공개 )

[ 기술적 세부 사항 ]

[ 공격 진입 경로 - Salesloft Drift 침해의 장기 후속 피해 ]

TELUS Digital 침해는 2025년에 발생한 별도의 공급망 공격에서 시작된다. Salesloft가 운영하는 챗봇 통합 도구 Drift의 GitHub 환경이 침해되어 OAuth 토큰이 탈취되었다. 이 토큰들은 Salesloft 고객사들의 Salesforce 환경에 대한 읽기 접근 권한을 부여하였다.

ShinyHunters는 이 Salesforce 데이터를 대규모로 다운로드하는 과정에서 TELUS Digital에 귀속된 Google Cloud Platform ( GCP ) 자격증명을 발견하였다. 이 자격증명을 발판으로 공격자는 TELUS Digital의 GCP 환경에 진입하였다. 진입 후에는 오픈소스 시크릿 스캐닝 도구인 trufflehog를 사용하여 다운로드한 BigQuery 데이터 내에서 추가 자격증명을 탐색하였다. 이 과정을 통해 다수의 내부 시스템에 대한 접근 경로를 확장하였다.

[ 탈취된 데이터의 범위 ]

ShinyHunters가 공유한 샘플과 언론 보도를 종합하면, 탈취된 데이터는 TELUS Digital 자체 데이터와 BPO 고객사 데이터 모두를 포함한다.

TELUS Digital 자체 데이터

- 통신 서비스 고객의 통화 기록 및 메타데이터
- 내부 소스코드
- FBI 신원조회 문서  ( BPO 운영 관련 )
- 직원 기록

BPO 고객사 관련 데이터

- 고객사별 고객 지원 녹취
- Salesforce 고객 데이터, 금융 정보
- AI 서비스 관련 데이터

피해 고객사는 28개 이상으로 추정되나, BleepingComputer는 독립 확인 불가를 이유로 명단 공개를 보류하였다.

[ BPO 구조가 피해 반경을 증폭하는 메커니즘 ]

BPO ( Business Process Outsourcing ) 사업자는 본질적으로 여러 기업의 고객 대면 업무를 단일 인프라에서 처리한다. 여기에는 고객 지원 큐, 청구 시스템, 내부 인증 도구, AI 챗봇 학습 데이터, 콜센터 녹취 등이 포함된다. 단일 BPO 사업자의 침해는 해당 사업자의 모든 클라이언트 기업으로 피해 반경 ( blast radius ) 이 자동으로 확장되는 구조를 갖는다. TELUS Digital은 이커머스, 금융, 의료, 자동차 분야 등의 글로벌 기업들을 고객으로 보유하고 있다.

[ 근본 원인 분석 ]

[ 기술적 요인 ]

침해의 직접적 원인은 Salesloft Drift 공급망 공격에서 파생된 GCP 자격증명의 노출이다. 이 자격증명이 침해된 시점과 TELUS Digital이 이를 인지한 시점 사이에 상당한 시간적 간격이 존재하였다. 서드파티 OAuth 통합을 통해 노출될 수 있는 자격증명 범위에 대한 가시성 ( visibility ) 이 부재하였으며, BigQuery 인스턴스와 같은 대용량 데이터 저장소에 대한 비정상적 접근 탐지가 이루어지지 않았다.

또한 trufflehog와 같은 시크릿 스캐닝 도구는 조직 내부에서 보안 목적으로 사용하는 도구지만, 공격자도 동일하게 활용하여 내부 시스템 간 횡적 이동 ( lateral movement ) 의 확장 경로를 자동화할 수 있다는 점이 확인되었다.

[ 관리적 요인 ]

- 제3자 벤더  ( Salesloft )  에 대한 보안 감사 및 OAuth 토큰 접근 범위 검토가 정기적으로 수행되지 않았다.
- 서드파티 통합으로 노출된 자격증명의 유효기간 및 범위를 최소화하는 거버넌스가 부재하였다.
- BPO 사업자로서 여러 클라이언트 데이터를 단일 환경에서 처리함에도, 클라이언트별 데이터 격리 아키텍처가 충분하지 않았던 것으로 추정된다.

[ 인적 요인 ]

ShinyHunters는 이번 공격에서 자동화된 도구 ( trufflehog ) 를 체계적으로 활용하여 사람의 판단이 개입되지 않는 방식으로 내부 확산 경로를 탐색하였다. 이는 공격자의 작전 효율성이 높아지고 있음을 시사한다.

[ 피해 영향 평가 ]

TELUS Digital 자체의 운영 중단은 제한적이었다. 침해 확인 후에도 BPO 서비스가 정상 운영되었으며, 고객 통신에도 영향이 없었다고 발표하였다. 그러나 고객사 28개 이상의 민감 데이터가 외부에 노출되었을 가능성이 있으며, 이들 고객사는 자신의 데이터가 침해되었는지 여부를 스스로 확인하기 어려운 상황이다.

6,500만 달러의 몸값 요구를 거부한 TELUS Digital은 향후 탈취 데이터의 다크웹 유통 또는 공개 위협에 직면할 수 있다. ShinyHunters의 과거 행동 패턴을 보면, 몸값 협상이 결렬되면 데이터를 실제로 게시하거나 경쟁 정보를 다른 범죄 조직에 판매한 사례가 다수 존재한다.

장기적으로는 TELUS Digital이 확보하고 있던 FBI 신원조회 문서와 같은 민감 정보의 유출이 당사자들에게 미치는 영향이 수년간 지속될 수 있다.

[ 예방 및 대응 조치 ]

[ 즉각적 조치 ]

- 침해 확인 후 모든 서드파티 OAuth 연동 토큰과 클라우드 자격증명 즉시 무효화 및 신규 발급
- trufflehog 등 시크릿 스캐닝 도구를 내부에서 자체적으로 실행하여 환경 내 노출된 자격증명 선제적 탐지

[ 단기 조치 ]

- BigQuery, S3, GCS 등 대용량 데이터 저장소에 대한 접근 로그 분석을 통해 비정상적인 대용량 다운로드 패턴을 탐지하는 규칙 수립
- 서드파티 SaaS 통합에서 부여되는 OAuth 토큰의 접근 범위를 최소 권한 원칙에 따라 재검토

[ 장기 조치 ]

- BPO 사업자를 활용하는 기업은 자사 데이터가 BPO 환경에서 어떻게 저장되고 처리되는지에 대한 계약적 보장과 정기 감사 권한 확보
- 클라이언트별 데이터 격리 아키텍처  ( 논리적 또는 물리적 분리 )  를 요구 사항으로 명시

[ 컨설팅 커뮤니케이션 전략 ]

[ 비기술 직원 대상 ]

이번 사건은 우리 회사가 직접 공격받지 않더라도, 우리 데이터를 처리하는 외주 업체가 공격받으면 동일하게 피해를 입을 수 있다는 점을 보여준다. 고객 지원, 콜센터, AI 서비스를 외부 업체에 위탁하는 경우, 그 업체의 보안 수준이 곧 우리 고객 데이터를 지키는 수준이 된다.

[ 기술팀 대상 ]

서드파티 OAuth 통합은 자격증명 노출의 주요 경로 중 하나다. Salesforce, Slack, GitHub 등 주요 플랫폼에 연결된 서드파티 앱들이 어떤 범위의 데이터에 접근 가능한지 정기적으로 감사해야 한다. trufflehog 같은 도구는 방어자도 공격자도 동일하게 사용하므로, 우리 환경 내 시크릿 노출 상태를 공격자보다 먼저 파악해야 한다.

[ 경영진 대상 ]

이번 사건은 BPO 또는 SaaS 공급업체를 통한 간접 침해 위험이 실질적으로 현실화된 사례다. 공급업체 계약 시 보안 요구 사항 명시, 정기 감사 권한 확보, 데이터 격리 아키텍처 보장이 계약 조건의 필수 요소가 되어야 한다. 6,500만 달러 몸값 요구 사례에서 볼 수 있듯, 협상 거부 시 데이터 공개라는 추가 압박이 가해질 수 있으므로 사전 예방이 사후 대응보다 비용 효율이 높다.

[ 법무/컴플라이언스 대상 ]

BPO 사업자를 활용하는 기업은 GDPR, PIPA 등 개인정보보호법 상 데이터 처리자 ( data processor ) 에 대한 통제 의무를 이행하고 있는지 점검해야 한다. BPO를 통해 처리되는 데이터의 종류 및 범위가 데이터 처리 계약 ( DPA ) 에 정확하게 반영되어 있는지, 침해 통보 의무 이행 절차가 계약에 명시되어 있는지 확인해야 한다.

[ 예상 Q&A ]

Q. BPO 업체가 침해됐는지 어떻게 확인하나?

A. BPO 업체에 데이터 처리 현황, 접근 로그 제공, 정기 보안 감사 보고서 ( SOC 2 Type II 등 ) 제출을 계약 조건으로 요구해야 한다. 침해 의심 시 즉각적인 포렌식 협력 의무도 계약에 포함해야 한다.

Q. ShinyHunters가 데이터를 실제로 공개하면 어떻게 되나?

A. 탈취된 데이터가 다크웹이나 공개 포럼에 게시될 경우, 해당 데이터에 포함된 개인정보의 주체들에 대한 통보 의무가 발생한다. 고객사로서 TELUS Digital을 통해 자사 고객 데이터가 침해되었다는 통보를 받은 경우, 규제 당국 신고 및 개인 통보 의무 이행 여부를 즉시 법무팀과 검토해야 한다.

Q. 우리도 ShinyHunters의 다음 표적이 될 수 있나?

A. ShinyHunters는 특정 산업이나 지역을 집중 공략하지 않고 광범위하게 활동한다. 그러나 Salesforce, Drift, Slack 등 광범위하게 사용되는 SaaS 플랫폼의 서드파티 통합을 통해 대규모 데이터를 수집할 수 있는 환경이 주요 표적 조건이 된다. 자사 환경 내 OAuth 연동 현황을 전수 감사하는 것이 최우선 조치다.

[ 핵심 학습 포인트 ]

- 공급망 공격의 후속 피해는 수개월에 걸쳐 연쇄적으로 발현될 수 있다. 2025년의 Salesloft Drift 침해가 2026년 3월에 공식 확인된 TELUS Digital 침해로 이어졌다. 침해 인지 시점과 실제 침해 발생 시점 사이의 간격  ( dwell time )  이 길수록 탈취 데이터의 규모와 피해 범위는 증가한다.
- BPO 사업자의 보안은 개별 기업의 보안 범위 내에 있는 문제가 아니다. 아웃소싱으로 처리되는 업무의 데이터는 아웃소싱 이후에도 원래 기업의 법적 책임 하에 있다. 계약적 보호 장치 없이 데이터를 위탁하는 것은 법적 리스크를 동시에 위탁하는 것과 같다.
- 서드파티 OAuth 통합 범위 관리가 공급망 공격 방어의 첫 번째 방어선이다. Salesforce 내 자격증명이 Drift 침해를 통해 노출되고, 이것이 다시 TELUS Digital GCP 침해로 이어진 연쇄는 OAuth 토큰 범위 최소화의 중요성을 명확히 보여준다.
- trufflehog와 같은 보안 도구는 방어자와 공격자 모두 사용한다. 공격자가 내부 환경 탐색에 방어 도구를 재활용할 수 있다는 점에서, 내부 환경의 시크릿 노출 상태를 공격자보다 먼저 파악하는 선제적 시크릿 스캐닝이 필수적이다.