세일즈포스가 고객 데이터에 비정상적인 접근이 발생한 정황을 포착하고 대응에 나섰다.
21일 테크크런치 등 외신에 따르면 세일즈포스는 연계 애플리케이션에서 비정상적인 접근이 발생해 200개 이상 고객 인스턴스의 데이터가 외부에 노출됐을 가능성이 있다고 밝혔다.
이번 데이터 무단 접근 시도는 '샤이니헌터'로 알려진 위협그룹과 연계된 것으로 추정되고 있다. 세일즈포스는 사건 발견 직후 해당 앱의 모든 액세스·리프레시 토큰을 폐기했다고 밝혔다. 앱익스체인지에서도 앱을 임시 제거한 것으로 확인됐다.
이번 침해는 샤이니헌터가 올해 초 세일즈로프트의 드리프트 앱을 침해해 여러 기업의 오스(OAuth) 토큰을 탈취하고, 이를 통해 다수 세일즈포스 조직에 접근했던 사건과 유사한 형태다. 구글 위협 인텔리전스 그룹은 최근에도 제3자 오스 토큰을 악용해 고객 인스턴스 접근을 시도하는 움직임을 탐지했다.
구글 맨디언트는 세일즈포스와 잠재적 피해 조직에 통보를 진행 중이며, 기업들에 서비스형 소프트웨어(SaaS) 환경 전반을 점검해야 한다고 권고하고 있다. 특히 연결된 서드파티 앱 목록을 정기적으로 검토하고, 사용하지 않는 앱의 토큰을 즉시 폐기해야 한다고 당부했다.
관련기사
- 삼정KPMG, '딜마인드' 출시…"AI가 기업 인수합병 지원"2025.11.21
- 메가존, 지멘스와 차세대 AI·로우코드 혁신 전략 공유2025.11.21
- 일레븐랩스 "韓, 아시아 음성 AI 허브…K-콘텐츠 글로벌화 지원"2025.11.21
- "AI 열풍 속 산업 현장은 왜 여전히 DX에 막히는가"2025.11.21
또 기업 보안팀은 이상 활동이 발견될 경우 곧바로 자격 증명을 교체하고 관련 기록을 분석해야 한다는 지적이 나온다. 오스 기반 공격은 초기 침투 흔적이 적어 탐지 시점이 늦어질 수 있다는 점에서 주의가 필요하다.
오스틴 라르센 구글 위협 인텔리전스 그룹 수석 분석가는 "우리 팀은 샤이니헌터와 연계된 위협 행위자가 제3자 오스 토큰을 침해해 세일즈포스 고객 인스턴스에 무단 접근했을 가능성을 확인하고 있다"며 "기업들은 이번 사건을 계기로 SaaS 환경을 전반적으로 점검해야 한다"고 밝혔다.
