[아이티데일리] 세일즈포스(Salesforce) CRM(고객관계관리) 플랫폼에 저장된 고객 데이터가 대량 유출되는 사고가 또 발생했다. 이번 공격은 세일즈포스와 연동되는 서드파티(3rd Party; 제삼자) 애플리케이션의 접근 권한을 증명하는 오픈인증(OAuth) 토큰을 탈취해 이뤄졌다. 최근 ‘샤이니헌터스(ShinyHunters)’ 공격 그룹이 벌인 보이스피싱 기반 공격과는 또 다른 유형이다. 세일즈포스 플랫폼의 취약점을 이용한 공격은 아니라지만 지속되는 피해를 막을 근본적 조치가 필요하다는 지적이 나온다.

27일(현지시각) 구글 위협 인텔리전스 그룹(GTIG)은 사이버 공격자들이 세일즈로프트(Salesloft)의 ‘드리프트(Drift)’ 앱을 통해 세일즈포스 사용 기업의 고객 정보를 탈취하는 공격 캠페인을 발견했다고 밝혔다.

세일즈로프트는 CRM에 더해 영업, 마케팅, 고객성공 전 과정을 AI 기반으로 자동화·최적화하는 수익 오케스트레이션 플랫폼이다. 세일즈로프트가 2024년 2월 인수한 AI 기반 대화형 마케팅 플랫폼 드리프트는 웹사이트 방문자와 실시간 채팅을 통해 잠재 고객을 발굴하고 영업 기회를 창출하도록 돕는 서비스다. 드리프트는 세일즈로프트에 인수된 후 핵심 AI 채팅 기능으로 통합 운영되고 있다.

오픈인증 시스템의 허점을 노린 이번 공격은 UNC6395로 추적되는 공격 그룹이 8월 8일부터 18일까지 약 10일간 진행한 것으로 파악됐다. UNC6395는 세일즈로프트 드리프트 앱이 보유한 오픈인증 액세스 토큰과 리프레시 토큰을 탈취, 세일즈포스 API(애플리케이션 프로그래밍 인터페이스)에 직접 접근해 다수의 기업 인스턴스에서 대량의 데이터를 체계적으로 추출한 것으로 확인됐다.

특히 공격자들은 고객 데이터뿐만 아니라 세일즈포스 시스템 내에 저장된 자격 증명을 집중적으로 노린 것으로 나타났다. AWS 액세스 키(AKIA), 비밀번호, 데이터 분석 플랫폼인 스노우플레이크(Snowflake) 관련 액세스 토큰 등 또 다른 중요 자격 증명을 찾기 위해 데이터를 체계적으로 검색한 흔적이 확인된 것. 이렇게 확보한 자격 증명을 이용하면 피해 기업의 다른 시스템까지 침해할 수 있어 2차 피해까지 우려된다.

이번 공격은 특히 세일즈포스 자체를 직접 공격하지 않고도 고객 데이터를 탈취할 수 있었다는 점에서 오픈인증 기반 보안 시스템의 구조적 취약점을 보여준다. 세일즈로프트 드리프트 앱의 보안이 뚫리면서 해당 앱이 보유한 광범위한 세일즈포스 접근 권한이 그대로 공격자에게 넘어갔기 때문이다. 드리프트 앱은 AI 기반 대화형 마케팅 기능을 제공하기 위해 세일즈포스 인스턴스에 대한 광범위한 데이터 접근 권한을 보유하고 있었다.

이밖에 공격자들은 쿼리 내역을 삭제하는 등 작업 흔적을 없애려 시도했으나, 로그는 영향을 받지 않아 피해 조사가 가능한 상황으로 알려졌다. 세일즈로프트는 8월 20일 보안 문제를 감지하고 즉시 드리프트와 세일즈포스 간의 모든 연결을 선제적으로 해제했다고 발표했으며, 구글 측과 협력해 상세 조사를 공동으로 진행했다.

GTIG는 “세일즈로프트 드리프트를 사용하는 모든 세일즈포스 고객들은 데이터가 침해된 것으로 가정하고 즉시 대응 조치를 해야 한다”고 권고했다. 세일즈포스 인스턴스 내 민감한 정보와 시크릿(secret) 정보를 검색하고, API 키 해지와 자격 증명 교체 등도 필요하다는 설명이다. 이와 더불어 공격자가 시크릿을 악용했는지 추가 조사를 수행해야 한다고 GTIG는 강조했다.

세일즈포스 측은 “조사가 진행되는 동안 드리프트 앱을 자사 앱 스토어인 ‘세일즈포스 앱익스체인지(Salesforce AppExchange)’에서 제거했다”고 밝혔다.

세일즈로프트 측은 “시스템 관리자들을 대상으로 세일즈포스 연결을 재인증하라고 안내했다”면서 “다만 세일즈포스와 연동하지 않는 세일즈로프트 고객들은 이번 사건의 영향을 받지 않는다”고 덧붙였다.