세일즈포스 고객 데이터가 또다시 유출되었다. 이번 사건은 게인사이트(Gainsight) 애플리케이션을 통해 발생했으며, 200개 이상의 세일즈포스 인스턴스가 영향을 받았다고 구글(Google Threat Intelligence Group)이 발표했다.
이번 유출 사건은 2025년 11월 21일에 발생했으며, 해킹 그룹 Scattered Lapsus$ Hunters가 연관되어 있는 것으로 드러났다. 이들은 텔레그램 채널을 통해 Atlassian, CrowdStrike, DocuSign, Verizon 등 다수의 기업이 피해를 입었다고 주장했다. 세일즈포스는 즉시 게인사이트 앱의 액세스 토큰을 모두 취소하고, AppExchange에서 해당 애플리케이션을 일시적으로 제거했다.
이 사건은 2025년 여름에 발생한 Salesloft Drift 공격과 유사한 방식으로, 당시 ShinyHunters라는 해킹 그룹이 OAuth 토큰을 탈취해 약 760개 기업의 세일즈포스 데이터를 유출했다. 이번 Gainsight 사건에서도 ShinyHunters가 이전 공격에서 탈취한 비밀 정보를 이용해 약 285개의 세일즈포스 인스턴스에 추가 접근했다고 주장했다.
OAuth 토큰의 탈취는 세일즈포스 데이터에 무단 접근할 수 있는 주요 수단이 되었으며, 이는 SaaS 공급망 보안의 취약성을 극명히 드러낸다. AppOmni의 CTO인 Brian Soby는 토큰을 삭제하는 조치가 보안에는 도움이 되지만, 동시에 어떤 조직이 영향을 받았는지 추적하기 어렵게 만드는 부작용도 있다고 지적했다.
이번 사건은 기업들이 SaaS 앱에 대한 권한을 최소화하고, OAuth 토큰 회전, API 사용 모니터링, 통합 앱에 대한 가시성 확보 등 보안 전략을 강화해야 함을 시사한다. 반복되는 공급망 공격은 업계 전반에서 보안 표준 강화 및 규제 도입 논의를 촉발할 수 있다. 세일즈포스는 영향을 받은 고객에게 신속한 대응과 투명한 정보를 제공함으로써 신뢰를 유지하려는 노력을 지속하고 있다.
© 2025 TechMore. All rights reserved. 무단 전재 및 재배포 금지.
기사 제보
제보하실 내용이 있으시면 techmore.main@gmail.com으로 연락주세요.