세일즈포스 해킹이 남긴 결과: 기업 데이터 보호의 과제
세일즈포스 CRM 해킹 사건
최근 발생한 세일즈포스(Salesforce) 관련 해킹은 현대 사이버 위협의 대표적인 사례로 전세계적으로 이목을 끌고 있습니다. 세일즈포스 관련 해킹 사건들은 자체 플랫폼의 핵심 취약점을 이용한 것이 아니라, 교묘한 소셜 엔지니어링 기법을 통해 사용자 생태계를 공략함으로써 성공했습니다.
이는 공격자들이 더 이상 기술적 허점을 찾아 해킹을 시도하기보다, 인간의 행동과 시스템의 상호작용 방식을 파고드는 전략으로 전환했음을 보여줍니다. 이번 해킹으로 피해를 입은 기업에는 아디다스, 까르띠에, 구글, 루이비통, 디올, 샤넬, 티파니 등 유명 기업들과 클라우드플레어, 팔로알토 네트웍스, 웍키비아 등 보안 관련 SaaS 기업들까지 포함되었습니다.
보이스 피싱을 활용한 공격
세일즈포스 해킹이 전통적인 방식과 달랐던 점은 이메일 피싱이 아닌 보이스 피싱(vishing)기법을 사용했다는 점입니다. 이들은 타깃 기업의 IT 직원을 사칭하여 직원들에게 직접 전화를 건 뒤 “긴급한 문제 해결 조치”를 따라야 한다고 설득했습니다.
이러한 공격의 성공은 직원의 기술적 지식 부족이 아니라 긴급한 상황이라는 심리적 압박을 이용한 결과입니다. 해킹의 핵심이 기술적 장벽을 우회하는 것에서 벗어나 인간의 판단을 조작하는 데 있는 것입니다. 따라서 강력한 사이버 보안 기술을 보유하고 있던 대형 글로벌 기업들도 해당 공격에서 벗어날 수 없었습니다.
OAuth 남용과 다중 인증(MFA) 우회라는 기술적 우회
공격자들은 전화로 유도한 일련의 조치를 통해 피해 직원이 세일즈포스의 ‘연결된 앱(Connected Apps)’ 기능을 악용하도록 만들었습니다. 직원 스스로가 자신도 모르는 사이에 공격자가 제어하는 악성 OAuth 애플리케이션을 승인하여 공격자들의 해킹을 돕게 된 것입니다.
이 악성 앱은 접근 권한을 획득하여 세일즈포스 내의 고객 프로필, 연락처, 로열티 프로그램 정보 등 대량의 기록을 조회하고 유출할 수 있게 함으로써, 기존의 다단계 인증(MFA)을 우회하는 효과적인 수단으로 작용했습니다. 이번 해킹은 플랫폼 자체의 취약점을 파고든 것이 아니라, 플랫폼이 제공하는 합법적인 기능을 오용하여 보안 통제를 무력화시켰다는 점에서 새로운 공격 양상을 보여 줍니다.
세일즈포스 해킹
보안 업체를 향한 공격: 클라우드플레어 해킹 사고
세일즈포스 관련 공격이 많은 관심을 받고 있는 이유는 여러 보안 기업 또한 해킹되었기 때문입니다. 예시로, 클라우드플레어 유출 사건은 앞선 공격과는 다른 접근 방식을 사용했지만 세일즈포스 생태계를 겨냥한 것은 마찬가지였습니다. 이 사건은 세일즈포스 플랫폼과 연동된 ‘Salesloft Drift‘라는 제3자 통합 서비스의 자격 증명을 탈취하여 이루어진 공급망 공격이었습니다.
클라우드플레어 팀에 의하면, 공격자는 8월 12일 세일즈포스에 초기 접근 권한을 획득하고 이틀간 시스템과 데이터의 구조를 확인하는 광범위한 정찰 활동을 했습니다. 다음 단계로 넘어가기 전 약 48시간 동안 활동을 중단하는 등 공격에 치밀한 계획을 세운 정황도 드러났습니다. 이후 공격자는 세일즈포스 API 작업을 실행해 단 3분 만에 해킹에 성공, 데이터를 유출하고 흔적을 지우기 위해 작업 삭제를 시도하는 행보를 보였습니다.
보안 업체를 향한 공격: 팔로알토 네트웍스 데이터 해킹 사고
클라우드플레어 뿐만 아니라 팔로알토 또한 ‘Salesloft Drift’를 통한 해킹으로 데이터 유출 사고를 겪었습니다. 9월 2일, 세일즈포스 인스턴스에서 고객 데이터가 도난된 것을 확인하였으며 해당 공격은 8월 8일부터 8월 18일 사이 이루어 진 것으로 확인되었습니다. 공격자는 탈취한 OAuth 인증 토큰을 이용하여 무단으로 세일즈포스 인스턴스에 접근하고 기업의 세일즈포스 환경에서 대량의 데이터를 빼냈는데 여기에는 고객 연락처, 내부 영업 세부 정보, 사례 데이터 등이 포함되었습니다.
공격의 주된 동기는 자격 증명 수집이었으며, 공격자들은 도난당한 데이터를 적극적으로 스캔하여 비밀번호와 접근 키를 찾아 AWS 및 스노우플레이크(Snowflake)와 같은 다른 클라우드 서비스에 대한 추가 공격에 이용했습니다.
세일즈포스 해킹의 피해
이번 공격의 광범위한 양상, 특히 사이버보안 기업들을 겨냥한 사례는 보안 인프라 자체의 실패라기보다는 생태계 차원의 신뢰 붕괴를 보여줍니다. 세일즈포스 공격자들은 기술적 허점을 찾는 것이 아닌 사용자 신뢰를 기반한 공격, 공급망 공격 전략을 택했습니다. 즉, 기업의 보안이 더이상 내부 방화벽에 국한되지 않고 모든 외부 공급업체와 파트너, 그리고 사용자의 모든 상호작용을 포함하는 해킹으로 확장되었음을 확인할 수 있습니다.
세일즈포스를 악용한 해킹으로인해 현재 알려진 것보다 더 많은 피해가 발생했을 것으로 추정됩니다. 세일즈포스 공격의 대표적인 해커 그룹인 Scattered Spider, Lapsus$, ShinyHunters는 데이터 획득 후 텔레그램 채널에 데이터 판매 및 랜섬웨어로 획득한 자금에 대한 글을 올리며 세일즈포스 해킹이 효과적으로 이뤄졌음을 보여주었습니다.
세일즈포스 공격은 인간의 오류, 접근 제어 관리 미흡, 그리고 제3자 공급업체에 대한 감독 부재와 같은 근본적인 취약점들을 공격하는 수법을 사용했습니다. 강력한 인증 시스템, 지속적인 직원 교육, 그리고 포괄적인 공급망 위험 관리에 집중하는 것이야말로 현대 디지털 시대에 기업이 회복탄력성을 구축할 수 있는 가장 효과적이고 실용적인 전략입니다.
세일즈포스 해킹
기업이 대비해야 할 보안 전략
세일즈포스 데이터 유출 공격은 기업의 보안 전략이 단순히 기술적 방어 체계만으로 완성되기는 어렵다는 현실을 보여줍니다. 이제는 강력한 시스템 보안과 동시에 사람 중심의 보안 문화 구축이 필수입니다.
- 보안 인식 교육과 실전 훈련 강화
피싱, 스피어 피싱, 전화 사기 등과 같은 사회공학적 공격은 기술적 장비가 아닌 사람을 겨냥합니다. 따라서 모든 임직원이 위협 유형을 정확히 이해하고 즉각 대처할 수 있도록 주기적인 교육과 모의 훈련을 실시해야 합니다.
- 제로 트러스트(Zero Trust) 환경 도입
기존의 신뢰 기반 접근 방식을 버리고, 모든 사용자·디바이스·네트워크를 의심하는 접근 모델이 필요합니다. 특히 CRM과 같이 민감한 데이터를 다루는 시스템에서는 API 호출이나 애플리케이션 승인 시 철저한 인증/검증 절차를 거쳐야 합니다.
- 접근 권한 관리(IAM) 고도화
민감 데이터에 접근하는 권한을 최소화하고 앱 승인 권한은 제한된 관리자에게만 부여해야 합니다. 아울러 API 접근 로그를 실시간으로 모니터링하여 비정상적인 행위를 탐지하고 즉각 차단하는 체계도 필요합니다.
- 기술과 사람이 결합된 보안 전략
최첨단 보안 장치가 아무리 뛰어나더라도 이를 운영하는 사람의 실수가 있거나 인식이 부족하다면 보안 사고는 발생합니다. 따라서 “기술적 차단망”과 “보안 인식 강화” 이 두가지 요소가 균형을 이뤄야만 실질적으로 대응 할 수 있습니다.
- 글로벌 보안 기업 솔루션 활용
글로벌 사이버 보안 전문기업 펜타시큐리티는 오랜 경험을 토대로 다양한 방어 솔루션을 제공합니다.
- 데이터 암호화, 웹 방화벽, API 보안 등 핵심 자산 보호
- 제로 트러스트 기반 접근 제어로 내부 보안 강화
- 클라우드 보안 솔루션을 통한 안전한 네트워크 관리
WAPPLES(지능형 WAAP 솔루션), D.AMO(암호 플랫폼), Cloudbric(클라우드 보안 SaaS 플랫폼) 등을 통해 기업별 환경에 최적화된 보안 체계를 제공합니다. 약 30년간의 경험을 기반으로 다양한 기업들의 신뢰할 수 있는 보안 파트너로 자리 잡고 있습니다.
기업이 직면한 사이버 위협은 단순한 기술적 취약점 뿐만 아니라 사람이라는 변수가 결합될 때 가장 치명적입니다. 따라서 교육 · 권한 관리 · 제로 트러스트 · 전문 솔루션을 아우르는 종합적인 보안 접근이 필요합니다. 펜타시큐리티와 함께 사람 중심의 보안 문화 구축과 동시에 강력한 통합 보안 시스템을 구축해 보세요.