수십억 건 데이터 강탈 시도: Salesforce를 뒤흔든 고액 협박
해커들, OAuth 취약점과 구식 속임수 이용해 기업 데이터 탈취... 10월 10일 마감일 임박하며 기업들 비상
지난 몇 주간, 최근 가장 대담한 사이버 갈취 캠페인 중 하나가 Salesforce를 난처한 상황으로 몰아넣었습니다. 시가총액 2,500억 달러 규모의 CRM 강자인 Salesforce가 직접적인 침해를 당한 것은 아닙니다. 대신, 공격자들은 Salesforce 생태계 내의 '신뢰'를 무기화하는 영리한 방법을 찾아냈습니다.
스스로를 Scattered LAPSUS$ Hunters/ShinyHunters라고 칭하는 이 그룹은 Salesforce를 통해 운영되는 약 40개 기업에서 거의 10억 건에 달하는 기록을 빼돌렸다고 주장합니다. 이들은 약 10억 달러에 육박하는 금액을 요구하며, 2025년 10월 10일까지 돈을 지불하지 않으면 데이터를 온라인에 유출하겠다고 협박하고 있습니다.
이는 단순한 소프트웨어 오류가 아닙니다. 인간의 행동, 타사 앱을 둘러싼 취약한 보안 장치, 그리고 공격자들이 일상의 신뢰를 가장 날카로운 도구로 바꾸는 방법에 대한 이야기입니다.
강탈 방식은 어떻게 진행되었나
구글의 위협 인텔리전스 그룹 조사관들과 독립 분석가들은 공격이 어떻게 작동했는지 재구성했습니다. 이는 지난 8월, 해커들이 수많은 Salesforce 환경과 연결된 인기 영업 참여 앱인 Salesloft Drift와 관련된 OAuth 토큰에 집중하면서 시작되었습니다. 일단 침투에 성공하자, 탈취된 토큰은 겉보기에 합법적인 접근 권한을 부여하여 일반적인 API 호출을 통해 고객 데이터를 가져올 수 있게 했습니다. 이는 즉시 경보를 울릴 만한 일은 아니었습니다.
이러한 토큰을 획득하는 데 새로운 익스플로잇(취약점 공격)은 필요하지 않았습니다. 대신 공격자들은 IT 직원인 척하는 전화 통화인 "비싱(vishing)"에 의존했습니다. 일상적인 지원을 돕고 있다고 확신한 직원들은 광범위한 권한을 가진 악성 앱을 승인했습니다. 이러한 승인을 통해 해커들은 대규모 데이터 세트를 조용히 추출할 수 있었고, 자동화된 시스템에는 모든 것이 평소와 다름없는 것처럼 보였습니다.
보안 연구원들은 이러한 공격 흔적이 기술적 마법보다는 사회 공학 기법으로 악명 높은 UNC6040 및 Scattered Spider와 같은 알려진 그룹과 일치한다고 말합니다. 연구원들이 유출된 데이터 샘플을 검증한 후에야 이 캠페인의 엄청난 규모가 드러났습니다.
Salesforce의 대응
처음부터 Salesforce는 단호하게 주장했습니다: 핵심 인프라는 손상되지 않았다고 말입니다. 회사 관계자들은 이번 침해는 Salesforce 자체의 멀티테넌트 시스템이 아니라, 타사 통합 및 전화 사기에 속은 고객들에게서 비롯된 것이라고 강조합니다.
심각성을 보여주기 위해 Salesforce는 외부 포렌식 전문가를 투입하고, 사법 당국에 연락했으며, 손상된 OAuth 토큰을 취소하고, 검토가 진행되는 동안 AppExchange 마켓플레이스에서 의심스러운 앱을 삭제했습니다. 또한 고객들에게 다단계 인증(MFA)을 더욱 강화하고, 앱 권한을 감사하며, 비정상적인 데이터 내보내기를 주시할 것을 촉구했습니다.
기술적으로 Salesforce의 방어는 타당합니다. 하지만 인식은 다른 문제일 수 있습니다. 헤드라인에서는 "고객 설정 오류"보다 "Salesforce 침해"가 더 많은 관심을 끕니다. 이제 회사는 클라이언트와 대중 모두에게 진정한 약점은 자사 플랫폼 외부에 있다는 것을 확신시켜야 합니다.
산업 전반에 걸친 여파
피해 기업들은 재계 거물들의 명단과 같습니다. 금융, 헬스케어, 유통, 기술 분야에 걸쳐 있습니다. 클라우드플레어는 8월 12일에서 17일 사이에 Salesforce와 연결된 고객 지원 데이터가 노출되었음을 이미 인정했습니다. 다른 기업들은 법적 검토 및 피해 복구에 몰두하고 있을 가능성이 있어 침묵을 지키고 있습니다.
이 데이터가 그토록 위험한 이유는 단순히 양의 문제가 아닙니다. Salesforce의 "케이스"(지원 티켓)는 종종 로그인 정보, API 키 및 공격자들이 더 깊은 침투에 사용할 수 있는 다른 중요한 정보들을 포함합니다. 다시 말해, 탈취된 티켓은 단순한 불만 사항이 아니라 해커들에게는 보물 지도와 같습니다.
신뢰, 돈, 그리고 편의의 대가
이 이야기는 현대 기업들이 직면한 험난한 현실을 드러냅니다. 기업들이 생산성을 높이기 위해 방대한 앱 생태계에 의존할수록, 숨겨진 보안 비용은 더 커집니다.
분석가들은 Salesforce 자체는 큰 재정적 타격을 입지 않을 수 있다고 말합니다. 특히 다년 계약이 체결되어 있는 경우, 고객들은 CRM 시스템을 하루아침에 포기하지 않기 때문입니다. 그러나 조달팀은 이제 계약서에 서명하기 전에 더 엄격한 보안 보장을 요구하며 주저할 수 있습니다.
Salesforce에게는 이점도 있습니다. Shield 암호화 및 고급 모니터링 도구와 같은 프리미엄 보안 추가 기능에 대한 수요가 증가할 수 있으며, 이는 고객이 자신의 데이터로 누가 무엇을 하는지 모니터링하는 데 도움을 줍니다. Salesforce 외에도, 신원 관리 플랫폼 및 SaaS 보안 태세(SSP) 도구에 대한 새로운 지출이 증가할 수 있습니다. 요컨대, 복잡하게 얽힌 타사 접근 웹을 감시하는 데 도움을 줄 수 있는 기업들은 큰 이득을 얻을 것입니다.
10월 10일 마감 시한이 다가온다
해커들의 마감일이 빠르게 다가오고 있습니다. 과거의 갈취 캠페인을 참고한다면, 이들은 압박을 유지하기 위해 샘플을 조금씩 유출할 수도 있고, 한 번에 모든 것을 대량 유출할 수도 있습니다. 피해 기업들은 무엇이 더 큰 피해를 줄지 저울질할 것입니다: 돈을 지불할 것인가 아니면 데이터를 공개하도록 내버려 둘 것인가.
한편 Salesforce는 더 강력한 기본 설정을 출시하기 위해 서두르고 있습니다. 보도에 따르면, 이들은 더 엄격한 OAuth 권한, 짧아진 토큰 수명, 그리고 더 엄격한 앱 허용 목록을 위해 노력하고 있다고 합니다. 이러한 변경 사항이 신속하게 적용된다면, 명예 위기로 시작된 것이 신뢰도 향상으로 바뀔 수 있으며, Salesforce가 위기 속에서 빠르게 적응할 수 있음을 보여줄 것입니다.
보험 회사들은 가만히 기다리지 않고 있습니다. 일부는 이미 갱신 서류에 Salesforce 보안 위생(강화 조치)을 포함시키고 있으며, 고객들이 더 나은 안전 장치를 채택하도록 독려하고 있습니다. 아이러니하게도 규제가 아닌 돈이 가장 빠른 변화를 이끌어낼 수 있습니다.
투자자들에게 미치는 영향
투자자들에게 핵심은 간단합니다: 무서운 헤드라인을 실패한 비즈니스 모델과 혼동하지 마십시오. 실제 플랫폼 결함이 드러나지 않는 한, Salesforce의 장기적인 강점은 변함없이 유지됩니다. 단기적인 주가 하락은 매수 기회로 비칠 수도 있습니다.
그러나 더 넓은 SaaS(서비스형 소프트웨어) 시장은 냉각될 수 있습니다. 기업들이 위험을 재평가함에 따라 앱 통합 승인이 지연될 수 있습니다. 반대로, OAuth 거버넌스와 접근 제어에 능숙함을 입증한 벤더들은 프리미엄 평가를 받을 수 있습니다.
결론적으로, 이번 사건은 제로 트러스트 모델과 지속적인 접근 확인의 증가하는 매력을 강화합니다. 강력한 규정 준수 프로그램이 없는 소규모 앱 벤더들은 조달 절차가 매우 어려워지는 상황에 직면할 수 있습니다.
더 큰 그림
이번 갈취 시도는 뼈아픈 진실을 강조합니다: 클라우드 시대에는 가장 큰 위험이 열린 문이 아닌 신뢰할 수 있는 연결을 통해 스며들어오는 경우가 많다는 것입니다. 데이터는 더 이상 방화벽을 통해 깔끔하게 흐르지 않습니다. 수십 개의 연결된 앱을 통해 이동하며, 각 앱은 잠재적인 약점입니다.
조직들에게 교훈은 분명합니다. 정문만 지키는 것으로는 더 이상 충분하지 않습니다. 생산성이라는 이름으로 열어놓은 백도어를 주시해야 합니다. 공격자들이 분명 그렇게 하고 있기 때문입니다.