세일즈포스는 서드파티 애플리케이션이 침해되면서 고객 데이터에 비인가 접근이 발생한 또 다른 보안 사고가 확인됐다고 밝혔다. 이번 사고는 오쓰(OAuth) 기반으로 자사 플랫폼과 연동된 게인사이트(Gainsight)가 배포한 애플리케이션에서 관련 정황을 포착한 것으로 알려졌다.

세일즈포스는 고객관계관리 플랫폼과 연동되는 게인사이트 애플리케이션에서 비정상적인 활동을 포착했다고 밝혔다. 세일즈포스 대변인은 필자와의 인터뷰에서 “해당 활동을 확인한 즉시 세일즈포스와 연결된 게인사이트 배포 애플리케이션의 모든 활성 액세스 토큰과 리프레시 토큰을 철회하고, 조사 기간 동안 이들 애플리케이션을 앱익스체인지(AppExchange)에서 임시로 내렸다”라고 전했다.

세일즈포스는 이번 문제가 자사 플랫폼의 결함에서 비롯된 것은 아니라는 점도 분명히 했다. 대변인은 “세일즈포스 플랫폼 자체의 취약점으로 인해 발생했다는 근거는 없다. 해당 활동은 애플리케이션이 세일즈포스와 외부에서 연결되는 과정과 관련된 것으로 보인다”라고 설명했다.

게인사이트, 포렌식 조사 위해 맨디언트와 협력

게인사이트는 상태 페이지 업데이트를 통해 이번 사고 발생 사실을 확인했으며, 구글 클라우드 계열의 사이버보안 기업 맨디언트가 포렌식 조사를 지원하고 있다고 밝혔다. 20일 업데이트에서는 “현재까지의 분석 결과, 문제의 활동은 세일즈포스 플랫폼 내 취약점이 아니라 애플리케이션의 외부 연결에서 비롯된 것으로 보인다”라고 설명했다.

게인사이트는 세일즈포스를 통해 자사 서비스에 접근하는 기능이 여전히 중단된 상태라고 밝혔다. 게인사이트는 예방 조치의 일환으로 젠데스크 커넥터 접근도 철회했으며, 자사 앱을 허브스팟 마켓플레이스(HubSpot Marketplace)에서도 임시로 내렸다고 설명했다.

공격 배후는 샤이니헌터?

이번 공개는 세일즈포스와 연동된 신뢰된 서드파티 SaaS 애플리케이션의 오쓰 토큰을 노린 공격이 점차 확대되는 흐름 속에서 발생했다. 구글 위협 인텔리전스 그룹의 수석 위협 애널리스트 오스틴 라르손에 따르면, 이번 캠페인은 샤이니헌터(ShinyHunters)와 연계된 위협 행위자들과 관련된 것으로 파악된다. 샤이니헌터는 최근 몇 달 동안 세일즈포스 생태계를 지속적으로 노려온 갈취 성향의 공격 그룹으로 알려져 있다.

라르손은 링크드인 게시글에서 “구글 위협 인텔리전스 그룹은 샤이니헌터와 연계된 위협 행위자가 서드파티 오쓰 토큰을 침해해 세일즈포스 고객 인스턴스에 비인가 접근을 시도한 정황을 확인했다. 세일즈포스와 맨디언트는 영향을 받았을 가능성이 있는 조직에 직접 통보하고 있다”라고 밝혔다.

라르손에 따르면, 이번 사건은 최근 세일즈로프트(Salesloft)와 드리프트(Drift)를 겨냥한 캠페인과 유사한 양상을 보인다고 설명했다. 당시에도 공격자는 정식 SaaS 통합 앱의 오쓰 토큰을 악용해 기존 보안 통제를 우회했다.

데이터브리치닷넷(DataBreaches.net)에 따르면, 샤이니헌터는 게인사이트 캠페인에 관여했다고 주장하고 있으며, 세일즈로프트와 게인사이트를 겨냥한 두 차례 공격으로 약 1,000곳에 가까운 조직이 영향을 받았다고 밝혔다. 피해 회사에는 버라이즌, 깃랩, F5, 소닉월 등이 포함된 것으로 알려졌다.

다만 세일즈포스와 게인사이트는 모두 이번 사고의 배후를 샤이니헌터로 특정하지는 않았다.

8월 침해사고가 연쇄 공격으로 이어져

SaaS 보안 플랫폼 업체 넛지 시큐리티(Nudge Security)의 분석을 통해 이번 사고와 2024년 8월 발생한 침해사고 사이의 기술적 연관성이 명확해졌다. 넛지 시큐리티의 보안 알림에 따르면, 샤이니헌터는 세일즈로프트·드리프트 지원 케이스에서 탈취한 시크릿을 이용해 게인사이트의 오쓰 토큰을 확보한 것으로 파악된다. 공격자는 이렇게 손상된 토큰을 활용해 게인사이트와 연결된 최대 285개 세일즈포스 인스턴스에 대한 리프레시 토큰을 발급한 것으로 추정된다.

8월의 세일즈로프트·드리프트 침해사고는 기업 약 760곳을 데이터 탈취 위험에 노출시켰으며, 공격자는 탈취한 오쓰 토큰을 사용해 수백 개 기업의 세일즈포스 인스턴스에 접근했다. 피해 기업에는 구글, 클라우드플레어, 콴타스, 시스코, 트랜스유니언 등이 포함됐고, 게인사이트 역시 당시 피해 사례였다.

SaaS 통합에 따르는 공급망 위험

엔터프라이즈 세일즈포스 고객사에서 널리 사용되는 고객성공 플랫폼인 게인사이트는 세일즈포스와 직접 연동해 고객 데이터를 동기화하고 참여 워크플로우를 자동화하는 도구를 제공한다. 일반적으로 계정 정보, 연락처, 기회 데이터, 사용량 지표 등 건강도 평가와 유지율 분석에 필요한 데이터에 접근하기 위해 오쓰 권한을 요구한다.

이번 사고는 SaaS 통합 공급망이 안고 있는 위험이 커지고 있음을 보여준다. 단일 업체가 침해될 경우 다수의 하위 환경으로 위험이 연쇄적으로 확산될 수 있기 때문이다.

라르손은 CISO와 보안팀이 이번 게인사이트 사례에만 집중해서는 안 된다며 “모든 기업은 이번 사건을 계기로 SaaS 환경을 전반적으로 점검해야 한다”라고 말했다. 구체적으로 세일즈포스 인스턴스와 연결된 서드파티 애플리케이션을 주기적으로 검토하고 사용하지 않거나 의심스러운 애플리케이션의 토큰을 조사해 철회하며, 비정상 활동이 포착될 경우 침해 가능성을 전제로 대응할 것을 권고했다.

그레이하운드 리서치(Greyhound Research)의 최고애널리스트이자 CEO인 산치트 비르 고기아는 이번 공격이 효과적일 수 있었던 이유를 오쓰 토큰의 구조에서 찾았다. 고기아는 “오쓰 토큰 탈취는 방어 체계를 뚫는 방식이 아니라 신뢰를 악용하는 방식이기 때문에 현대 SaaS 환경에서 가장 위험한 공격 벡터다. 공격자가 토큰을 확보하면 API 계층에서 합법적인 애플리케이션이나 사용자로 가장할 수 있고, 이 영역은 대부분 기업이 모니터링을 가장 적게 수행하는 지점”이라고 분석했다.

대부분 오쓰 토큰이 장기간 사용되며 만료 설정이 없거나, 관리자 예상보다 훨씬 넓은 권한을 포함하는 경우가 많다. 고기아는 “이 토큰은 모니터링되는 사용자 계정이 아니라 사실상 인프라처럼 작동하기 때문에 침해가 발생하면 장기간에 걸쳐 조용히 고가치 데이터를 외부로 유출할 수 있다. 공격이 일반적인 침입처럼 보이지 않고, 합법성을 가진 활동으로 위장돼 진행되기 때문에 탐지가 특히 어렵다”라고 설명했다.

이번 사건은 2025년 내내 이어진 세일즈포스 관련 보안 이슈의 연장선에 있다. 지난 9월에는 프롬프트 인젝션 공격에 악용될 수 있는 AI 에이전트 취약점이 보고됐고, 세일즈포스 인더스트리 클라우드 구성에서 암호화된 고객 정보를 노출할 수 있는 위험도 발견됐다. 10월에는 샤이니헌터가 이전 공격에서 탈취한 데이터를 이용해 세일즈포스와 고객사를 협박하기 위한 전용 데이터 유출 사이트를 개설했다.

dl-itworldkorea@foundryco.com