또 뚫린 세일즈포스… 200여 고객사 데이터 노출 우려

글로벌 고객관계관리(CRM) 플랫폼 세일즈포스 고객사를 노린 소프트웨어 공급망 공격이 또다시 발생했다. 이번에는 세일즈포스와 연동된 고객경험(CX) 관리 솔루션인 ‘게인사이트’가 공격 경유지로 활용됐다.

이번 공격은 올해 8월 있었던 드리프트(Drift)를 경유한 세일즈포스 고객사 CRM 정보 유출 사건과 거의 동일한 방식으로 이뤄졌다. 드리프트는 세일즈포스와 연동되는 인공지능(AI) 기반 수익 조율(orchestration) 플랫폼 세일즈로프트의 AI 채팅 서비스다.

오스틴 라르센(Austin Larsen) 구글 위협 인텔리전스 그룹(GTIG) 수석 분석가는 지난 21일 링크드인 게시물을 통해 “게인사이트와 세일즈포스를 연결하는 오픈인증(OAuth) 토큰을 탈취해 200개 이상의 세일즈포스 고객 인스턴스에 접근할 가능성이 있는 ‘샤이니헌터스’ 계열 공격 그룹을 관찰했다”고 밝혔다.

샤이니헌터스는 GTIG가 그동안 UNC6040이라는 이름으로 추적해온 공격 그룹으로, 2024년 초부터 기업의 IT 담당을 사칭해 전화를 걸어 OAuth 앱 승인을 유도하는 보이스 피싱 수법으로 세일즈포스 환경에 침투해왔다. 이들은 기업 내 IT 문제 해결 신청 페이지로 위장한 ‘마이 티켓 포털(My Ticket Portal)’ 페이지를 개설한 뒤, 전화를 통해 로그인에 필요하다며 이 페이지에 8자리 디바이스 코드를 입력하도록 직원을 속이는 대담한 방법을 사용했다. 데이터 유출 피해 기업으로는 글로벌 HR(인적자원) 플랫폼 기업 워크데이가 있으며 피해 사실은 올해 8월 중순에 알려졌다.

지난 8월 말 있었던 드리프트 경유 침해 사건은 앞서 소개한 샤이니헌터스의 보이스 피싱 기반 세일즈포스 침투 건과는 별개의 사건으로 알려져 왔다. 당시 공격자는 드리프트 플랫폼 내부에서 세일즈포스 인증 토큰을 훔쳐 CRM 데이터에 직접 접근했다. 이로 인해 수천여 드리프트 고객사가 위험에 노출됐다. 당시 글로벌 최대 사이버 보안 기업인 팔로알토네트웍스와 지스케일러를 비롯해 클라우드플레어같은 대형 인프라 기업까지 고객 데이터가 유출되는 피해를 입어 소프트웨어 공급망 공격의 취약성이 적나라하게 드러난 바 있다.

GTIG는 8월 공격 당시 UNC6395를 공격 주체로 추적하며, UNC6040으로 분류한 보이스피싱 기반의 샤이니헌터스와는 별개 조직임을 분명히 했다. 하지만 앞서 언급했듯 오스틴 라르센 수석 분석가는 드리프트때와 동일한 수법을 사용한 이번 게인사이트 공격이 샤이니헌터스 계열이라고 밝혔다. 더불어 샤이니헌터스 측도 해외 매체와의 접촉에서 게인사이트가 자신들의 활동이 맞다고 인정했다.

결국 이는 샤이니헌터스가 보이스피싱보다 손쉽게 대규모 침해가 가능한 자격증명 토큰 탈취 방식으로 공격 전술을 전환했거나, 애초에 UNC6040 즉 ‘샤이니헌터스’와 UNC6395 두 공격 그룹이 동일한 전술을 공유하는 조직이었을 가능성을 시사한다.

현재 샤이니헌터스 공격그룹은 “이번 게인사이트를 포함해 4개의 대형 세일즈포스 해킹 캠페인을 통해 약 1000개 조직의 세일즈포스 CRM 데이터를 확보했다”고 주장하고 있다.

올해 공개된 샤이니헌터스의 대표 피해 기업으로는 시스코, 구글, 아디다스, 콴타스항공, 알리안츠생명, 루이비통·디올·티파니 등을 소유한 LVMH 그룹, 에어프랑스-KLM 등이 있다. 여기에 이번 게인사이트 건으로 피해자 명단은 더 늘어날 것으로 예상된다.

세일즈포스는 지난 몇 번의 사건때와 마찬가지로 문제를 감지한 즉시 게인사이트와 연동된 앱들이 사용하던 모든 액세스·리프레시 토큰을 폐기했으며, 자사 ‘앱익스체인지(AppExchange)’ 마켓플레이스에서 모든 앱들을 일시적으로 제거했다. 그러면서 이번 사건이 자사 플랫폼의 취약점 때문이 아니라 게인사이트의 외부 연동 과정에서 발생한 문제라고 밝혔다.

하지만 진짜 문제는 게인사이트가 단순히 세일즈포스 한 곳과만 연결된 서비스가 아니라는 점이다. 게인사이트는 슬랙, 허브스팟, 젠데스크, 지라, 서비스나우, 스노우플레이크 등 다양한 서비스형 소프트웨어(SaaS)와 연동된다. 게인사이트의 취약한 보안 토큰을 이용해 연동된 다른 SaaS들 역시 피해를 볼 가능성이 제기된다.

일부 기업은 세일즈포스의 지나치게 빠른 대응, 즉 일괄적인 삭제 조치에 다소 당황한 것으로 알려졌다. 이들은 게인사이트가 자신들의 어떤 시스템과 연결돼 있는지조차 명확히 파악하지 못한 채 점검에 들어갔다는 점과 상세한 조사를 할 수 있는 기회가 완전히 사라졌다는 데 대해 우려를 표하고 있다.

보안 업계는 이번 사건이 단순한 코드 몇줄이 잘못 짜여져 발생한 보안 문제가 아니라, 신원(Identity)에서 비롯되는 SaaS 공급망 보안에 관한 문제라고 지적한다. 특히 서드파티(3rd Party) 앱에 부여되는 과도한 권한과 SaaS 연동 구조 전반의 관리 부실에서 비롯됐다는 게 전문가들의 지적이다.

드리프트 사태 당시에도 영업·고객지원용 앱에 필요한 범위를 넘어선 세일즈포스 접근 권한이 부여돼 있었던 사실이 확인됐다. 게인사이트에서도 비슷한 상황이 반복됐을 가능성이 제기된다.

전문가들은 세일즈포스를 사용하는 기업이라면 이번 사건을 계기로 연동된 모든 서드파티 앱의 권한 구성과 API 접근 범위를 전반적으로 재정비해야 한다고 조언한다. 이미 드리프트 공격을 경험한 기업들은 세일즈포스 내부에서 대량 자료 조회 여부, 오래된 OAuth 토큰 사용 기록, 다른 SaaS로 확장된 경로 등 이상 징후를 중심으로 재점검에 나서고 있다.

SaaS 공급망 공격이 잇따라 확인되고 있는 만큼, 제3자 애플리케이션을 통한 침해가 향후에도 반복될 가능성이 크다는 지적이 나온다.

정보보호컨설팅 전문기업 티앤디소프트의 김영곤 기술연구소장은 “SaaS 공급망 보안은 SaaS 애플리케이션의 개발부터 사용에 이르기까지 수명주기 전반에서 발생할 수 있는 보안위협을 관리하는 것을 의미한다"며 "하지만 대부분의 공급망 보안이 서드파티 라이브러리를 식별하고 이에 대한 취약점을 분석하는 것을 위주로 이뤄지고 있다”고 말했다. 그는 이어 “이번 사례를 통해 취약점 분석뿐만 아니라 서드파티 라이브러리 사용에 대한 구성과 권한 설정이 중요하다는 교훈을 얻을 수 있다. 이러한 관리가 지속적으로 이뤄지지 않을 경우 유사한 침해 사고가 반복될 가능성이 크다”고 덧붙였다.

정종길 기자

jk2@chosunbiz.com