META-X

글로벌 기업 '워크데이', 소셜 엔지니어링 공격에 노출: X 기자 / 기사승인 : 2025-08-20 11:00:00

위장 전화·문자로 접근한 공격자들
사회공학적 위협의 확산과 기업 리스크

최근 글로벌 HR·ERP 솔루션 기업 워크데이(Workday)가 사회공학적 기법을 활용한 공격 캠페인에 노출됐다고 발표했다. 고객 데이터는 안전했지만, 외부 CRM에서 일부 직원 및 비즈니스 연락처 정보가 유출된 것으로 확인됐다.

위장 전화·문자로 접근한 공격자들

2025년 8월 15일, 워크데이는 자사 직원들을 겨냥한 사회공학적 공격(Social Engineering Campaign)을 공식 확인했다. 공격자들은 인사(HR)나 IT 부서를 사칭해 문자·전화로 접촉, 계정 접근 권한이나 개인 정보를 탈취하려는 시도를 벌였다.

조사 결과, 일부 공격자는 워크데이가 사용하는 외부 CRM(고객관계관리) 플랫폼에 접근해 이름, 이메일, 전화번호 등 일반적인 비즈니스 연락처 정보를 확보한 것으로 파악됐다. 워크데이는 “고객 테넌트(tenant) 데이터나 내부 주요 시스템에는 접근 흔적이 없다”고 강조했다.

워크데이는 침해 사실을 인지한 직후 접근을 차단하고, 재발 방지를 위한 추가 보안 장치를 도입했다. 회사는 “모든 공식 커뮤니케이션은 워크데이의 신뢰할 수 있는 지원 채널을 통해서만 이뤄지며, 전화로 비밀번호나 민감 정보를 요구하는 일은 절대 없다”고 공지했다.

또한, 직원 및 고객들에게 피싱·스미싱 시도에 대한 주의 환기와 함께, “의심되는 접근은 반드시 보안팀에 보고할 것”을 권고했다.

사회공학적 위협의 확산과 기업 리스크

이번 사례는 기술적 해킹보다 인간 심리를 이용한 공격 기법이 여전히 보안의 가장 큰 취약점임을 보여준다. 공격자들은 CRM 등 비교적 덜 보호된 외부 플랫폼을 발판으로 삼아, 내부 직원들을 표적 삼는 ‘2단계 공격(secondary attack)’을 시도했다.

보안 업계에 따르면 최근 대기업을 겨냥한 ‘비즈니스 이메일 침해(BEC)’와 ‘스피어 피싱’은 꾸준히 증가하고 있으며, 단순 정보 유출이 아니라 장기적으로 공급망·내부망 침투를 노린 경우가 많다. 이번 사건 역시 워크데이를 대상으로 한 1차 공격이라기보다, 추후 대규모 사기 캠페인의 전초전일 가능성이 크다.

보안 전문가들은 “기술적 방어망이 강화될수록, 공격자들은 사람을 속이는 사회공학적 접근으로 무게 중심을 옮기고 있다”고 지적한다.

기업 입장에서는 CRM·외부 벤더 시스템 등 ‘2차 데이터 저장소’에 대한 보안 규제가 상대적으로 약하다는 점이 리스크로 꼽힌다.

고객 측면에서는 직접적인 피해는 없지만, 공격자가 수집한 연락처가 향후 피싱 이메일, 스미싱 등에 재활용될 가능성이 우려된다.

보안 경계의 확장: 핵심 시스템뿐 아니라 외부 SaaS·협력사 데이터 보안까지 관리 범위를 확대해야 한다.
직원 교육 강화: 기술적 방어만으로는 한계가 있으며, 지속적인 피싱 대응 모의 훈련과 보안 인식 제고가 필수다.
제로 트러스트(Zero Trust) 접근법: 외부·내부를 구분하지 않고 모든 접근을 검증하는 원칙이 재차 강조되고 있다.

워크데이 사건은 고객 데이터 침해로 이어지지 않았지만, “사람을 노린 공격이 기업 보안의 최대 위협”이라는 사실을 다시금 확인시킨 사례다.

이번 사건은 워크데이뿐 아니라, 글로벌 SaaS 기업 전반에 던지는 경고다. 보안은 더 이상 내부 서버만의 문제가 아니며, 협력사·외부 플랫폼·직원 개개인까지 아우르는 종합적 접근이 필요하다. 기업과 직원 모두가 공격자의 시도를 인지하고 대비할 때만이 사회공학적 위협에 대응할 수 있다.