Salesforce 고객 데이터가 Gainsight 애플리케이션을 통해 무단 접근되었을 가능성이 제기되었다. 이는 SaaS 플랫폼 간 연동 지점의 보안 취약성을 드러내며, 기업들의 보안 전략에 새로운 과제를 안기고 있다.
2025년 11월 20일, Salesforce는 Gainsight 앱에서 일부 고객 데이터가 외부에 노출될 가능성이 있는 이상 활동을 감지했다고 발표했다. Salesforce는 즉시 해당 앱의 모든 활성 접근 토큰을 폐기하고, AppExchange에서 임시 제거했다. 이 사건은 Salesforce 플랫폼 자체의 취약점이 아닌, 외부 연동 지점에서 발생한 문제로 보인다.
이 사건은 약 두 달 전 발생한 Salesloft Drift 연계 공격과 유사하다. 당시 700여 개 이상의 Salesforce 고객이 OAuth 토큰 탈취를 통해 영향을 받았다. Google Threat Intelligence Group은 이번 사건으로 최소 200개 이상의 Salesforce 인스턴스가 영향을 받을 수 있다고 밝혔다.
ShinyHunters라는 해킹 그룹이 이번 사건의 배후를 자처하며, 협상이 이루어지지 않을 경우 데이터를 공개하겠다는 협박성 메시지를 보냈다. Gainsight는 사이버 보안 기업 Mandiant와 협력하여 독립적인 포렌식 조사를 진행 중이며, Salesforce와 긴밀히 협력하고 있다.
이번 사건은 SaaS 환경에서 제3자 연계 보안 리스크가 얼마나 중요한지를 다시 한 번 부각시킨다. Salesforce와 Gainsight는 현재 조사를 진행 중이며, 영향을 받은 고객들에게 직접 통보하고 있다. 향후 유사 사건을 방지하기 위해서는 통합 앱에 대한 접근 권한 관리, 모니터링 강화, 보안 검토 절차 마련이 필수적이다.
Mandiant의 조사 결과에 따라 추가적인 보안 조치나 정책 변화가 있을 수 있다. 기업들은 SaaS 플랫폼과 연동된 제3자 앱에 대한 보안 검토를 강화해야 하며, OAuth 토큰 관리, 앱 권한 검토, 연동 앱에 대한 지속적 모니터링이 중요해질 것이다.
© 2025 TechMore. All rights reserved. 무단 전재 및 재배포 금지.
기사 제보
제보하실 내용이 있으시면 techmore.main@gmail.com으로 연락주세요.