Salesloft/Drift 공격 피해 확산: Palo Alto Networks도 데이터 유출 확인

최근 Salesloft와 Drift 플랫폼을 겨냥한 공급망 공격으로 인한 피해가 계속해서 확산되고 있습니다. 이번에는 세계적인 사이버 보안 기업인 Palo Alto Networks가 고객 데이터 유출을 공식적으로 발표하면서, 사건의 심각성이 더욱 부각되고 있습니다.

Salesloft/Drift 공격 개요

이번 공격은 Salesloft라는 영업 자동화 플랫폼에서 시작되었습니다. Salesloft는 실시간 채팅, 챗봇, AI 기능을 제공하는 Drift라는 대화형 마케팅 및 영업 플랫폼을 사용하여 고객과 소통합니다. SalesDrift는 Drift의 AI 채팅 기능을 Salesforce와 연결하여 대화 내용, 잠재 고객 정보, 지원 사례 등을 Salesloft 생태계를 통해 CRM으로 동기화하는 역할을 합니다.

지난 8월 초, 공격자들은 SalesDrift에서 OAuth 및 갱신 토큰을 탈취하여 고객 환경으로 침투, 민감한 데이터를 빼돌리는 데 성공했습니다. 공격은 약 10일 동안 지속되었으며, Zscaler, Cloudflare 등 여러 기업의 정보가 유출되었습니다.

Palo Alto Networks의 피해

BleepingComputer에 공유된 성명에서 Palo Alto Networks는 자사가 "수백 명"의 피해자 중 하나임을 밝혔습니다. 회사는 "Palo Alto Networks는 Salesforce 데이터를 노출시킨 Salesloft Drift 애플리케이션을 대상으로 한 광범위한 공급망 공격으로 인해 피해를 입은 수백 명의 고객 중 하나임을 확인합니다"라고 밝혔습니다.

사고를 억제하기 위해 Palo Alto Networks는 Salesforce 환경에서 해당 애플리케이션을 비활성화했으며, 사이버 보안 부문인 Unit 42는 자사 제품, 시스템 및 서비스는 영향을 받지 않았다고 밝혔습니다. 하지만 공격자는 주로 비즈니스 연락처 및 관련 계정 정보, 내부 영업 계정 기록, 기본 지원 사례 데이터를 탈취했습니다. Palo Alto Networks는 영향을 받은 고객에게 직접 통지하는 절차를 진행 중입니다.

공격 주체와 추가적인 우려

탈취된 지원 사례 데이터에는 연락처 정보와 텍스트 코멘트가 포함되어 있었습니다. 랜섬웨어 조직 ShinyHunters가 이번 공격의 배후를 자처했지만, 일부에서는 회의적인 시각을 보이고 있습니다. 예를 들어 Google은 이번 공격을 UNC6395라는 별도의 조직의 소행으로 추정하고 있습니다.

Google은 Salesloft Drift 공격으로 인해 Workspace 계정과 Salesforce 인스턴스가 손상되었을 가능성에 대한 경고를 발표하기도 했습니다. 이는 공격의 파급력이 더욱 광범위할 수 있다는 점을 시사합니다.

결론

이번 Salesloft/Drift 공격은 공급망 공격의 위험성과 기업들이 제3자 플랫폼을 사용하는 데 있어서 얼마나 신중해야 하는지를 다시 한번 강조하는 사례입니다. 기업들은 데이터 보안을 위해 다층적인 보안 전략을 구축하고, 정기적인 보안 감사를 실시하며, 잠재적인 위협에 대한 최신 정보를 지속적으로 업데이트해야 할 것입니다.