Salesloft Drift 공급망 해킹, 글로벌 보안기업까지 뚫렸다 🔓

최근 사이버 보안 업계에 큰 충격을 준 사건이 있었습니다.
바로 Salesloft Drift라는 SaaS(Software-as-a-Service) 마케팅 플랫폼이 해킹되면서,
여기에 연동된 수많은 고객사의 데이터가 줄줄이 유출된 건데요. 단순히 일반 기업만이 아니라,
세계적인 보안 회사인 Zscaler와 Palo Alto Networks(PAN)까지 피해를 본 사실이 공개되면서 파장이 더욱 커지고 있습니다.

이 사건은 우리가 얼마나 SaaS 공급망 보안(supply chain security)에 취약한지를 잘 보여주는 사례라고 할 수 있습니다.
하나의 SaaS 서비스가 뚫리자, 그 서비스를 연동해서 쓰던 수많은 기업이 동시에 위험에 빠진 것이죠.

---

사건 개요 📝

• 침해 발생일: 2025년 8월 8일 ~ 8월 18일
• 가해자: 위협 그룹 UNC6395 (공격자 추적명)
• 침해 경로: Drift 플랫폼의 Salesforce 연동 기능에서 사용되던 OAuth·Refresh 토큰 탈취
• 피해 범위: 수천 개 Drift 고객사 (Salesforce와 연결된 기업들)
• 공개 시점: 8월 20일 Salesloft 최초 공지 → 8월 26일 구글 경고 → 8월 28일 Salesforce 연동 차단

특히 구글은 “Drift 플랫폼에 저장된 모든 인증 토큰을 잠재적으로 노출된 것으로 간주해야 한다”라고 강력하게 경고했습니다.

---

Zscaler 피해 내용 🔍

글로벌 클라우드 보안 선두주자 Zscaler도 이 공격의 직접적인 피해자였습니다.
CISO Sam Curry는 블로그를 통해 다음과 같은 피해 사실을 공개했는데요.

• 해커들이 Drift를 통해 Salesforce 자격 증명을 빼내어 Zscaler 고객 데이터 일부에 접근
• 유출된 데이터 범위:
  • 이름, 이메일, 전화번호
  • 직함, 지역 정보
  • Zscaler 제품 라이선스 정보
  • 일부 고객 지원 티켓 내용(plain text)

즉, 고객 관련 정보가 다수 노출되었지만, Zscaler는 제품·서비스·인프라 자체에는 영향이 없었다고 강조했습니다.

Curry는 고객들에게 “데이터가 악용된 정황은 아직 발견되지 않았다”고 안심시키면서도,
“수천 개 Drift 고객사가 동시에 위험해졌다는 점에서 사태가 심각하다”고 경고했습니다.

---

Palo Alto Networks 피해 내용 🛡️

또 다른 보안 대기업 Palo Alto Networks(PAN) 역시 피해를 입었습니다.
CISO Marc Benoit는 9월 2일 공식 입장을 발표했습니다.

• PAN 역시 Drift 침해 사건에 포함되어 Salesforce CRM 데이터 일부 유출
• 유출된 정보:
  • 고객 연락처 정보
  • 내부 영업 계정 데이터
  • 기본적인 케이스 데이터
• 제품, 시스템, 서비스에는 직접적인 영향 없음
• 현재 피해 고객에게 개별 통지 진행 중

즉, PAN 역시 고객 관련 정보 유출이라는 타격을 피하지 못했지만, 보안 솔루션 자체가 해킹된 것은 아니라고 선을 그었습니다.

---

Unit 42 분석 🔬

PAN의 위협 인텔리전스 팀 Unit 42는 이번 사건을 좀 더 기술적으로 분석했습니다.

1. 해커들은 Salesforce 데이터 객체(Account, Contact, Case, Opportunity 등)를 대량 탈취
2. 그 안에서 AWS 키, Snowflake 토큰, 비밀번호 등 자격 증명을 집중적으로 탐색
3. 흔적을 지우기 위해 쿼리 로그 삭제(anti-forensics) 기법 사용
4. 단순한 정보 탈취를 넘어, 2차 공격 가능성까지 내포

즉, 해커들은 단순히 “명단만 빼내는 수준”이 아니라,
추후 다른 시스템 공격에 활용할 수 있는 크리덴셜을 확보했다는 점에서 매우 위험합니다.

---

공급망 공격의 무서움 ⚡

이 사건이 특히 무서운 이유는 공급망(supply chain) 구조의 취약성 때문입니다.

• Drift라는 SaaS가 뚫렸을 뿐인데 → 연동된 Salesforce → 다시 수많은 기업들의 고객 데이터까지 줄줄이 유출
• 보안 대기업조차 피해를 피할 수 없었음 → “내 회사는 보안 솔루션을 쓰니까 안전하다”라는 믿음이 무너짐

즉, 공급망에서 하나의 약한 고리가 뚫리면, 그 뒤로 연결된 모든 기업이 무방비로 당할 수 있다는 점이 여실히 드러난 사건입니다.

---

실무 대응 가이드 ✅

그렇다면 우리 기업은 이번 사건에서 어떤 교훈을 얻고, 무엇을 해야 할까요?

1. Salesloft Drift 연동 차단
   • Salesforce 연동을 즉시 점검하고 필요 없는 연동은 해제
   • 모든 OAuth·API 토큰 교체
2. 로그 점검
   • Salesforce 감사 로그, ID 공급자 로그, 네트워크 로그 분석
   • 의심스러운 대량 조회·다운로드 흔적 확인
3. 자격 증명 전면 교체
   • 노출 가능성이 있는 AWS 키, Snowflake 토큰, API 키 등 즉시 재발급
4. 제로 트러스트 원칙 적용
   • SaaS도 무조건 신뢰하지 말고, 최소 권한 원칙을 적용
   • 외부 연동 서비스 점검 프로세스 강화
5. 직원 대상 보안 교육
   • 이번 사건으로 사회공학 공격(피싱, 스피어피싱) 가능성 ↑
   • 의심스러운 이메일, 계정 재확인 절차 철저히 진행

---

마무리 ✍️

이번 사건은 단순한 SaaS 보안 문제가 아니라, 공급망 전체의 보안 위협이라는 점에서 심각합니다.
Drift 하나가 뚫리면서 Salesforce와 연결된 수천 개 고객사가 위험에 노출됐고,
그 안에는 Zscaler와 Palo Alto Networks 같은 글로벌 보안 기업조차 포함되었습니다.

결국 교훈은 명확합니다.

• “내 시스템만 지키면 된다”는 착각에서 벗어나야 한다
• SaaS 보안 = 기업 보안
• 공급망 보안은 선택이 아니라 필수

앞으로도 SaaS와 연동된 시스템을 어떻게 관리하고 점검할지가 기업 보안의 핵심 과제가 될 것입니다.