개인정보위, "'세일즈포스' 개인정보 보호 사실관계 확인 중"

[아이뉴스24 윤소진 기자] 개인정보보호위원회는 세일즈포스사의 고객관리 솔루션을 사용하는 기업을 대상으로 개인정보 획득 시도가 발생하고 있는 것으로 보인다며 보안 점검 및 개인정보 취급자 계정 등의 관리 강화를 당부했다고 11일 밝혔다.

세일즈포스는 전 세계적으로 널리 활용되는 클라우드 기반 고객관계관리(CRM) 서비스 업체다. 약 15만 개 이상의 기업에서 서비스를 사용 중인 것으로 추정된다.

개인정보위는 최근 세일즈포스사의 솔루션을 이용 중인 일부 기업에서 개인정보 유출신고가 있었고 구글 위협 인텔리전스 그룹(GTIG)의 보고서를 인용한 일부 언론 보도에 따라 세일즈포스사에 대해 정확한 현황 파악과 함께 관련 시스템의 개인정보 보호 취약점 여부에 대한 사실관계 확인 절차에 들어갔다.

이와 동시에 세일즈포스 시스템을 이용하는 국내기업들에게 자체 보안 점검 및 임직원 대상 피싱 예방 교육 실시, 관리자 계정에 대한 다중 인증 적용(아이디/패스워드 외 추가 인증수단 활용), 접근할 수 있는 아이피(IP) 주소 제한 등 개인정보 보호 활동을 각별히 강화해 줄 것을 당부했다.

앞서 구글 클라우드는 지난 5일 보이스 피싱으로 세일즈포스 인스턴스를 침해하는 UNC6040에 대한 조사를 발표했다. GTIG에 따르면 금전적 목적으로 보이스 피싱 공격을 일삼는 위협 그룹 UNC6040은 유럽과 미주 지역에서 다양한 기업의 임직원을 속여 변조된 세일즈포스 커넥티드 앱 설치를 유도함으로써 세일즈포스 인스턴스를 침해하고 데이터를 탈취하는 사례가 관찰됐다. 20여개 조직이 공격의 영향을 받은 것으로 파악됐으며, 수개월 전부터 시작된 공격이 여전히 계속 진행 중인 것으로 조사됐다.

/윤소진 기자(sojin@inews24.com)