2025년 08월 27일

Salesloft 해킹, 제3자 침투 주의보

Tech

Share

by

Salesloft 해킹 사건: ShinyHunters의 주장과 Google의 분석

최근 영업 자동화 플랫폼 Salesloft에서 발생한 데이터 유출 사건이 업계에 큰 파장을 일으키고 있습니다. 이번 사건은 제3자 업체를 통한 침투로 인해 발생했으며, 민감한 정보가 유출되는 심각한 결과를 초래했습니다. 이번 블로그 글에서는 Salesloft 해킹 사건의 경과, 공격 주체에 대한 논쟁, 그리고 이번 사건이 사용자 보안에 미치는 영향에 대해 자세히 살펴보겠습니다.

Salesloft 해킹 사건의 개요

Salesloft는 영업 활동을 효율적으로 관리할 수 있도록 지원하는 플랫폼으로, 많은 기업들이 고객 관계 관리(CRM) 시스템과 연동하여 사용하고 있습니다. 이번 해킹 사건은 Salesloft와 연동된 Drift라는 대화형 마케팅 및 영업 플랫폼의 OAuth 토큰이 탈취되면서 시작되었습니다. 공격자들은 탈취한 토큰을 이용하여 고객 환경에 침투, AWS 접근 키, 비밀번호, Snowflake 관련 접근 토큰 등 민감한 데이터를 빼돌렸습니다.

공격 경로와 피해 규모

공격자들은 SalesDrift라는 제3자 플랫폼을 통해 Drift의 AI 채팅 기능을 Salesforce와 연결, Salesloft 생태계를 통해 CRM으로 대화, 잠재 고객 및 사례를 동기화했습니다. 8월 8일부터 약 10일 동안 OAuth 및 리프레시 토큰을 훔쳐 고객 환경으로 침투하여 민감한 데이터를 유출했습니다. Salesloft는 초기 조사 결과, 공격자들의 주요 목표가 자격 증명 탈취, 특히 AWS 접근 키, 비밀번호, Snowflake 관련 접근 토큰과 같은 민감한 정보에 집중되어 있었다고 밝혔습니다. 다행히 Drift-Salesforce 통합을 사용하지 않는 고객은 이번 사건의 영향을 받지 않았다고 덧붙였습니다.

UNC6395 vs. ShinyHunters: 공격 주체 논쟁

Google의 위협 인텔리전스 그룹(GTIG)은 이번 공격을 UNC6395라는 특정 위협 행위자의 소행으로 분석했습니다. GTIG는 UNC6395가 데이터 유출 후, 피해자 환경을 훼손할 수 있는 비밀 정보를 찾기 위해 데이터를 검색했다고 밝혔습니다. UNC6395는 데이터 노출 증거를 숨기기 위해 쿼리 작업을 삭제하는 등 운영 보안 인식을 보여주었지만, 로그는 삭제하지 않아 조직은 관련 로그를 검토하여 데이터 노출 증거를 확인할 수 있습니다. 하지만 ShinyHunters라는 해커 집단은 이번 공격이 자신들의 소행이라고 주장하고 나섰습니다. Google은 아직까지 이들을 연결할 만한 설득력 있는 증거를 발견하지 못했다는 입장입니다.

사용자 보안을 위한 Salesloft의 대응

Salesloft는 해킹 사건 발생 직후, 보안 강화에 총력을 기울이고 있습니다. 유출된 토큰을 무효화하고, 시스템 취약점을 개선하며, 고객들에게 보안 권고 사항을 전달하는 등 발 빠른 대처를 통해 추가적인 피해를 최소화하기 위해 노력하고 있습니다. Salesloft는 성명에서 "초기 조사 결과 공격자의 주요 목표는 AWS 접근 키, 비밀번호, Snowflake 관련 접근 토큰과 같은 민감한 정보 탈취였다"고 밝혔습니다. 또한 "이번 사건은 Drift-Salesforce 통합을 사용하지 않는 고객에게는 영향을 미치지 않는다"고 덧붙였습니다.

이번 사건의 교훈 및 시사점

이번 Salesloft 해킹 사건은 제3자 업체를 통한 공급망 공격의 위험성을 다시 한번 강조했습니다. 기업들은 자체 보안 시스템뿐만 아니라, 협력 업체의 보안 수준까지 철저히 점검해야 합니다. 또한, OAuth 토큰과 같은 민감한 정보에 대한 보안 관리를 강화하고, 이상 징후 감지 시스템을 구축하여 사이버 공격에 대한 대응 능력을 향상시켜야 합니다. 더불어 보안 사고 발생 시, 투명하게 정보를 공개하고, 신속하게 대응하여 고객 신뢰를 유지하는 것이 중요합니다.

맺음말

Salesloft 해킹 사건은 우리 모두에게 보안의 중요성을 일깨워주는 사례입니다. 기업들은 끊임없이 진화하는 사이버 위협에 맞서기 위해 보안 시스템을 강화하고, 직원들의 보안 인식을 높이는 데 투자를 아끼지 않아야 합니다. 사용자 역시 자신의 계정 정보를 안전하게 관리하고, 의심스러운 링크나 첨부 파일을 클릭하지 않는 등 기본적인 보안 수칙을 준수해야 합니다.

이것도 좋아하실 수 있습니다...