세일즈포스가 보안 정책을 강화하는 과정에서 일부 관리자 계정이 잠기거나 조직 접속이 차단되는 사례가 발생하고 있다. 지난해 잇단 보안 사고 이후 세일즈포스가 인증·접속 관리 체계를 강화하고 있지만, 일부 조치가 현장 운영에 부담을 주고 있다는 지적이 나온다.
22일 세일즈포스 전문 매체 SF벤에 따르면 세일즈포스는 최근 각 조직에 적용될 보안 변경 사항을 로그인 화면 상단 배너를 통해 안내하고 있다. 사용자는 배너 내 링크를 통해 자신의 조직에 예정된 보안 변경 사항을 확인할 수 있다.
문제는 일부 사용자가 변경 사항을 인지하기 전 계정 잠금이나 접근 차단을 겪었다는 점이다. SF벤은 비기업용 프라이버시 VPN이나 익명 VPN을 사용한 상태에서 세일즈포스에 접속한 뒤 계정의 접근이 차단되고 권한이 철회됐다는 사례가 링크드인 등 커뮤니티에서 공유되고 있다고 전했다.
실제 일부 사용자는 공용 와이파이 환경에서 보안 목적으로 익명 VPN을 사용해 세일즈포스에 로그인했으나, 이후 세일즈포스 접근 권한이 철회됐다. 관련 OAuth 토큰도 취소된 것으로 알려졌다. 해당 사용자는 세일즈포스에 전화로 문의해 케이스를 등록한 뒤 접근 복구 절차를 밟아야 했다.
또 다른 사례에서는 특정 샌드박스에 관리자가 1명뿐인 상황에서 해당 관리자 계정이 잠겼다. 이 경우 내부에서 즉시 사용자를 동결 해제하거나 접근 권한을 복구하기 어려워 외부 지원 절차에 의존해야 하는 문제가 발생했다.
세일즈포스 커뮤니티에서는 보안 강화 필요성에는 공감하면서도 적용 방식이 다소 급격했다는 반응이 나온다. VPN은 공용 네트워크 이용 시 보안을 위해 널리 쓰이는 도구지만, 일부 환경에서는 익명 VPN 사용이 의심 접속으로 분류될 수 있기 때문이다. 기업용 VPN을 운영하지 않는 중소 고객사나 개인 개발자, 독립 관리자에게는 혼선이 커질 수 있다는 지적도 제기된다.
특히 1인 관리자 체계로 운영되는 조직은 영향이 클 수 있다는 의견도 나왔다. 세일즈포스 관리자 계정이 1개뿐인 조직이나 샌드박스에서 해당 계정이 동결되면, 내부에서 계정 상태를 복구할 대체 관리자가 없어서다. 이 경우 세일즈포스 지원 채널을 통해 복구 요청을 해야 해 업무 중단 시간이 길어질 수 있다.
OAuth 토큰 철회도 운영 부담으로 이어질 수 있다. 의심 접속으로 판단돼 사용자 접근 권한과 함께 관련 OAuth 연결이 끊기면 외부 애플리케이션, 자동화 도구, 개발·테스트 환경 연동에도 영향을 줄 수 있다. 단순 로그인 문제가 아니라 운영·개발 프로세스 전반의 장애로 확대될 수 있다는 우려가 나오는 이유다.
이번 논란은 세일즈포스가 2026년 보안 로드맵을 강화하는 과정에서 불거졌다. 세일즈포스는 지난해 자사 플랫폼을 이용하는 고객사를 겨냥한 데이터 탈취 캠페인과 연결 앱 보안 논란 이후 인증, 접속 정책, 연결 앱 보안 등을 강화하고 있다. 피싱 방지 다중인증(MFA), 의심 접속 차단, OAuth 관리 개선 등이 주요 변화로 거론된다.
다만 현장에선 보안 강화 조치와 함께 복구 절차나 예외 대응 체계도 보완돼야 한다는 목소리가 나온다. 특히 관리자가 한 명뿐인 조직에서는 계정 잠금 전 추가 확인 절차나 긴급 복구 수단이 필요하다는 의견이 제기되고 있다.
SF벤은 기업들이 우선 조직당 최소 2명 이상의 세일즈포스 관리자를 지정하는 방안을 권고했다. 관리자 1명이 접근 권한을 잃더라도 다른 관리자가 계정 상태를 확인하거나 복구 절차를 진행할 수 있도록 해야 한다는 것이다. 샌드박스 환경 역시 임시 테스트용이라도 백업 관리자를 추가하는 것이 필요하다고 봤다.
익명 VPN 사용에 대한 내부 가이드도 점검 대상이다. 세일즈포스 접속 시 개인용 익명 VPN을 사용하는 관리자나 개발자가 있다면 기업용 VPN, 허용 IP, 조건부 접근 정책 등 조직 차원의 기준을 마련할 필요가 있다. 특히 개발자 에디션이나 샌드박스처럼 관리자가 제한적인 환경에서는 접속 방식에 대한 사전 안내가 요구된다.
샌드박스 운영 방식도 점검 대상이다. SF벤은 샌드박스를 메타데이터 저장소처럼 사용하는 것은 바람직하지 않다고 봤다. 접근 차단이 발생할 경우 개발 중인 설정이나 변경 사항을 확인하기 어려워질 수 있는 만큼, 이를 코드 저장소와 자동 배포 체계로 별도 관리할 필요가 있다고 설명했다.
관련기사
- 세일즈포스, 6월부터 'AI 개발툴' 유료 전환…파트너사 비용 셈법 '복잡'2026.05.16
- [AI는 지금] 세일즈포스 중소기업 플랜 개편 '엇박자'…AI 스위트 전환에 '불똥'2026.05.11
- "조회 넘어 실행까지"…세일즈포스, 태블로로 에이전틱 분석 플랫폼 승부수2026.05.07
- 세일즈포스, 인포매티카 인수 완료…"데이터 역량 강화"2025.11.27
업계에선 세일즈포스의 보안 강화 흐름 자체는 계속될 것으로 보고 있다. AI 기반 자동화, 연결 앱, 원격 접속 환경이 확산되면서 인증 정보와 접속 경로 관리 중요성이 커지고 있어서다. 그러나 보안 정책 적용 과정에서 관리자 잠금, 연동 중단, 샌드박스 접근 장애 같은 부작용을 줄이는 것이 과제로 떠오르고 있다.
SF벤은 "2025년 침해 사고와 신뢰 하락 이후 세일즈포스가 보안을 진지하게 다루는 점은 안심할 만하다"면서도 "익명 VPN과 피싱 방지 MFA를 둘러싼 롤아웃 세부 사항은 우려된다"고 말했다.
