Salesforce, OAuth 토큰 악용한 대규모 데이터 유출 사건 발생

🚨 또 터진 Salesforce 보안 사고

전 세계 기업들이 널리 사용하는 CRM 서비스인 Salesforce에서 또다시 대규모 데이터 유출 사건이 발생했습니다.
이번 사건은 단순한 계정 해킹이나 피싱이 아니라,
서드파티 애플리케이션이 발급한 OAuth 토큰을 악용한 새로운 유형의 공격으로 밝혀졌습니다.

Google 위협 인텔리전스 그룹(GTIG)에 따르면,
이번 공격은 UNC6395라는 위협 그룹이 주도했으며 최소 8월 8일부터 8월 18일까지 광범위하게 진행됐습니다.
공격자들은 Salesloft Drift라는 애플리케이션이 Salesforce와 연동하기 위해 사용하는 인증 토큰을 훔쳐내어,
피해 기업들의 Salesforce 인스턴스에서 대량의 민감 데이터를 빼돌린 것으로 확인됐습니다.

---

🕵️ UNC6395의 공격 방식

UNC6395는 Salesforce를 직접 해킹한 것이 아니라, Salesforce와 통합되는 서드파티 앱을 노렸습니다.
Salesloft Drift는 AI를 이용해 영업 커뮤니케이션과 데이터 분석을 자동화하는 솔루션인데,
이 앱이 사용하는 OAuth 토큰이 공격자들의 표적이 된 겁니다.

1. 공격자는 앱과 연결된 인증 토큰을 탈취
2. 이를 이용해 Salesforce 인스턴스에 접근
3. 시스템적으로 대량의 데이터를 내보내기(export) 작업 수행
4. AWS 액세스 키(AKIA), 비밀번호, Snowflake 관련 토큰 등 민감한 자격 증명 탈취
5. 흔적을 지우기 위해 쿼리 작업 기록 삭제

즉, 단순 데이터 유출이 아니라 이후 2차 공격으로 이어질 수 있는 위험한 자격 증명 수집이 목적이었습니다.

---

💣 유출된 데이터와 잠재적 위험

피해 기업의 Salesforce 인스턴스에서 탈취된 데이터에는 단순 고객정보뿐 아니라
기업 클라우드 운영을 위협할 수 있는 자격 증명들이 포함돼 있었습니다.

• AWS 액세스 키(AKIA) → 클라우드 인프라 장악 가능성
• 비밀번호 및 로그인 정보 → 계정 재사용 공격에 악용
• Snowflake 데이터베이스 토큰 → 대규모 데이터 웨어하우스 침해 가능

이러한 데이터는 단순히 팔려나가는 것에 그치지 않고, 실제 기업 시스템 해킹과 내부망 침투로 이어질 수 있습니다.

---

🧩 기존 ShinyHunters 사건과는 별개

이번 공격은 과거 Salesforce 환경을 노린 ShinyHunters 그룹의 피싱·보이스 피싱(vishing) 기반 공격과는 무관한 것으로 알려졌습니다.
Google과 Mandiant는 UNC6395라는 새로운 위협 그룹으로 추적 중이며,
이번 공격은 Salesforce 생태계를 겨냥한 서드파티 신뢰관계(trusted-relationship) 악용의 전형적인 사례로 보고 있습니다.

---

🛡️ 방어와 대응 권고사항

아직 로그 자체가 직접 삭제된 정황은 발견되지 않았지만, Google은 모든 조직에 다음과 같은 대응을 권고하고 있습니다.

1. OAuth 토큰 재검토 및 무효화
   • Salesforce와 연동된 서드파티 앱들의 토큰 사용 현황 점검
   • 의심되는 연결은 즉시 차단
2. 로그 점검
   • Salesforce 내 export job 기록, 데이터 쿼리 내역 확인
   • 삭제 흔적까지 고려해 보안 모니터링 강화
3. 자격 증명 로테이션
   • AWS, Snowflake 등 외부 서비스 키와 암호를 즉시 변경
   • 동일 계정 재사용 여부 확인
4. 서드파티 앱 보안 검토
   • Salesloft Drift뿐 아니라 Salesforce에 연결된 모든 외부 앱 점검
   • 최소 권한 원칙(least privilege) 적용

---

🌐 교훈: 클라우드 보안의 진짜 약점은 '신뢰 관계'

이번 사건은 기업 보안에서 자주 간과되는 문제를 다시 일깨워 줍니다.
바로 서드파티 애플리케이션과의 신뢰 관계입니다.
기업들은 업무 편의성을 위해 Salesforce 같은 SaaS를 수십 개 애플리케이션과 연동하지만,
그 과정에서 발급되는 OAuth 토큰과 API 권한은 종종 지나치게 넓고 관리가 소홀해집니다.

UNC6395가 악용한 것도 바로 이 지점입니다.
Salesforce 자체를 뚫은 게 아니라, 연결된 앱을 통해 내부로 들어온 것이죠.
이는 클라우드 보안에서 흔히 말하는 "공급망 공격" 또는 "신뢰 관계 악용"의 대표적 사례입니다.

---

✨ 정리하며

Salesforce는 수많은 글로벌 기업들이 고객 데이터를 관리하는 핵심 CRM 플랫폼입니다.
따라서 이번 사건은 단순한 앱 해킹이 아니라, 기업 전반의 신뢰 기반 클라우드 보안 체계를 뒤흔든 공격이라 할 수 있습니다.

UNC6395의 사례는 앞으로 더 많은 공격 그룹들이 비슷한 방식으로 클라우드 생태계를 노릴 수 있음을 보여줍니다.
기업 보안팀은 지금 바로 Salesforce와 연동된 앱 권한과 OAuth 토큰을 점검해야 하며,
자격 증명 관리와 로그 모니터링을 강화해야 합니다.

🚨 다시 한번 확인할 점: 보안의 가장 약한 고리는 종종 기업 내부가 아닌, 연결된 제3자입니다.