세일즈로프트 ‘드리프트’ SW 공급망 공격, 글로벌 보안 기업까지 당했다

[아이티데일리] 세일즈로프트(Salesloft)의 영업 자동화 플랫폼 ‘드리프트(Drift)’를 통한 소프트웨어 공급망 공격으로 지스케일러(Zscaler)와 팔로알토네트웍스(Palo Alto Networks) 등 세계적인 사이버 보안 기업들까지 세일즈포스(Salesforce) 고객 데이터 유출 피해를 입은 것으로 확인됐다.

공격자들은 드리프트에 저장된 세일즈포스 연동을 위한 인증 토큰을 탈취해 수천 개 기업의 고객관계관리(CRM) 데이터에 무단 접근하고 있다. 서드파티 앱 인증 토큰 관리의 중요성을 보여주는 대표적 공급망 보안 침해 사례라는 점에서 사이버 보안 업계의 관심이 높은 상황이다.

UNC6395로 추적되는 공격 그룹은 지난 8월 8일부터 18일까지 10일간 드리프트 플랫폼에 침입해 고객사들의 세일즈포스 인증 토큰을 대량 탈취했다. (8월 28일자 <또 공격받은 세일즈포스…서드파티 앱 인증 토큰 탈취해 데이터 빼내> ☜ 기사 참고)

드리프트는 세일즈로프트가 지난해 인수해 서비스하고 있는 대화형 마케팅 플랫폼으로, 기업 웹사이트에 방문한 고객과의 실시간 채팅을 통해 리드를 생성하고, 고객 데이터를 세일즈포스에 자동 연동하는 서비스를 제공한다.

공격자들은 탈취한 오픈 인증(OAuth) 및 리프레시 토큰을 악용해 세일즈포스 계정, 연락처, 케이스, 기회 등 핵심 데이터 객체에 접근했다. 특히 이들은 단순한 고객 정보 수집을 넘어 AWS 키, 스노우플레이크 토큰, 비밀번호 등 추가 자격 증명을 집중적으로 탐색했으며, 흔적을 지우기 위해 쿼리 로그까지 삭제하는 치밀함을 보이고 있다.

세일즈로프트와 구글 맨디언트 등의 합동 조사를 통해 공격에 피해를 입은 것으로 확인된 지스케일러는 자사 블로그를 통해 공격자들이 드리프트를 타고 세일즈포스 자격 증명을 획득해 고객 데이터 일부에 접근했다고 밝혔다. 유출된 정보에는 고객의 이름, 이메일, 전화번호, 직함, 지역 정보와 지스케일러 제품 라이선스 정보, 일부 고객 지원 티켓 내용이 포함됐다. 지스케일러 측은 “제품, 서비스, 인프라 자체에는 영향이 없었으며 데이터가 악용된 정황은 아직 발견되지 않았다”고 밝히고 있다.

팔로알토네트웍스도 이달 2일 드리프트 침해 사건으로 세일즈포스 CRM 데이터 일부가 유출됐다고 공식 인정했다. 유출된 정보로는 고객 연락처 정보, 내부 영업 계정 데이터, 기본적인 케이스 데이터가 포함됐으며, 현재 피해 고객들에게 개별 통지를 진행하고 있다고 전했다. 다만 팔로알토 측은 “제품, 시스템, 서비스에는 직접적인 영향이 없다”고 선을 그었다.

추가로 팔로알토네트웍스는 이번 공격을 자사의 위협 인텔리전스 팀 ‘유닛42’가 분석한 기술 분석 결과도 공개했다. 유닛42에 따르면 공격자들은 세일즈포스 데이터 객체를 대량 탈취한 후 그 안에서 AWS 키, 스노우플레이크 토큰, 비밀번호 등 자격 증명을 집중적으로 탐색했으며, 반포렌식 기법을 사용해 쿼리 로그를 삭제함으로써 추적을 어렵게 만들었다. 유닛42는 이러한 흔적들로 미뤄봤을 때 단순한 정보 탈취를 넘어 2차 공격 가능성까지 내포하고 있어 더욱 위험하다고 분석했다.

구글은 지난달 26일 “드리프트 플랫폼에 저장된 모든 인증 토큰을 잠재적으로 노출된 것으로 간주해야 한다”고 강력히 경고한 바 있다. 세일즈포스도 지난달 28일 드리프트와의 연동을 차단하는 조치를 취했다. 세일즈로프트는 지난달 20일 최초 공지 이후 “수천 개 드리프트 고객사가 동시에 위험에 노출됐다”고 인정했다.

이번 사건은 하나의 서드파티 앱 침해가 연쇄적으로 수많은 기업의 데이터 유출로 이어지는 공급망 공격의 위험성을 적나라하게 보여준 사건으로 평가된다. 이에 전문가들은 기업들이 서드파티 앱 연동 시 최소한의 권한만 부여하고, 오픈 인증 토큰을 정기적으로 갱신하며, 외부 연동 서비스에 대한 지속적인 모니터링 체계를 구축해야 한다고 조언한다. 또한 세일즈포스 감사 로그와 ID 공급자 로그를 면밀히 분석해 의심스러운 대량 조회나 다운로드 흔적이 있는지 확인하고, 노출 가능성이 있는 모든 자격 증명을 즉시 재발급할 것을 권고하고 있다.

한 국내 보안 업계 관계자는 “드리프트라는 SaaS 하나가 뚫리자 이를 사용하던 수천 개 기업이 세일즈포스에 저장된 고객 데이터를 걱정해야 하는 사고로 번졌다는 점에서 경각심을 심어준다”며 “최고 수준의 사이버 보안 기술력을 자랑하는 글로벌 대기업조차 피해를 피할 수 없었던 것이 아이러니하다. 그들이 보유한 보안 솔루션이 취약해서 생긴 사고가 아니기 때문이다. 수많은 기업들이 널리 사용하는 소프트웨어를 공격자들이 공략하면 고객 기업 모두가 위험할 수 있다는 사실을 기억하고, 만약의 사태에 대한 대책을 다방면에서 고민해야 한다”고 말했다.