• Korea Council of Chief Information Security Officers
      회원안내      

CISO 뉴스

  • HOME
  • CISO 뉴스
  • 최신뉴스

CISO 뉴스

최신뉴스

시장 정보 플랫폼 Klue 공급망 공격으로 사이버 보안 기업들 피해 입어 2026.06.21

헌트레스와 레코디드 퓨처 등 클루 고객, 세일즈포스(Salesforce) DB에서 데이터 탈취당해

[보안뉴스 원병철 기자] 사이버 보안 기업인 헌트레스(Huntress)와 레코디드 퓨처(Recorded Future)가 시장 정보 플랫폼 ‘Klue’를 겨냥한 공급망 공격으로 인해 피해를 입었다고 밝혔다. 클루(Klue)는 B2B 시장 분석 및 경쟁사 분석 솔루션을 제공하는 캐나다의 SaaS 전문 기업이다.

▲피해 사실을 공지한 클루(Klue) 홈페이지 [출처: 클루]


글로벌 보안 매체 SecurityWeek에 따르면, 이번 공격은 6월 11일에 시작됐으며, 소프트웨어 플랫폼 연동(Integration)과 관련된 시스템에 영향을 미쳤다. 해커들은 클루의 백엔드 서버에 접속해 권한이 없는 명령을 실행했으며, 고객들의 클루 연동을 위한 OAuth 토큰을 수집하도록 코드 업데이트를 밀어 넣었다.

클루는 6월 12일 고객들에게 이 사건을 통보하며, 모든 고객의 OAuth 토큰을 비활성화하고 세일즈포스(Salesforce), 허브스팟(HubSpot), 셰어포인트(SharePoint), 줌(Zoom), 공(Gong), 코러스(Chorus), 클라리(Clari), 구글 드라이브(Google Drive), 슬랙(Slack)과의 연동을 중단했다고 경고했다.

보안 기업 렐리아퀘스트(ReliaQuest)에 따르면, 해커들은 세일즈포스의 REST API를 악용해 24시간 동안 방대한 양의 고객 관계 관리(CRM) 데이터를 탈취했다. 여기에는 ‘15분 만에 약 1000개의 쿼리가 집중적으로 몰린 폭발적인 추출과 6시간 이상 지속된 지속적인 추출 기간’이 포함됐다.

6월 17일, 세일즈포스는 ‘클루 배틀카드’(Battlecards) 앱 연동을 비활성화하며 “해당 앱과 관련된 비정상적인 활동을 감지했으며, 이로 인해 앱과 세일즈포스의 연결을 통해 일부 고객 데이터에 무단 접근이 발생했을 수 있다”고 경고했다.

6월 18일, 헌트레스와 레코디드 퓨처는 모두 이번 공급망 공격의 영향을 받은 기업 중 하나임을 확인했다.

헌트레스 측은 “우리 세일즈포스 계정에서 복사된 데이터에는 비즈니스 연락처, 견적서, 기타 영업 관련 데이터 및 메시지가 포함되어 있었다”면서, “헌트레스 에이전트나 우리가 수집하는 텔레메트리(원격 측정 데이터)와 관련된 위협 데이터, 비밀번호, 결제 카드 정보 또는 엔지니어링 데이터는 영향을 받지 않았습니다”라고 밝혔다.

레코디드 퓨처는 “조사가 진행 중이지만, 영향은 고객 연락처 이름 및 이메일 주소와 같이 세일즈포스 데이터베이스에 저장된 비즈니스 데이터 필드에 국한된 것으로 추정된다”면서, “특정 비즈니스 계약 정보도 영향을 받은 데이터에 잠재적으로 포함되었을 수 있다”라고 설명했다.

이번 사건은 클루와 세일즈포스 간의 연동 기능에만 국한되었으며, 공격자들은 두 사이버 보안 기업이 자체적으로 보유하거나 관리하는 시스템에는 접근하지 못했다. 헌트레스는 다른 여러 사이버 보안 기업들도 클루를 사용하고 있지만, 아직 피해를 공개적으로 밝힌 다른 기업은 없다고 덧붙였다.

이번 공격은 이전에 발생한 세일즈포스(Salesforce), 세일즈로프트 드리프트(Salesloft Drift), 게인사이트(Gainsight) 인스턴스 공격 사건과 동일한 패턴을 따르고 있다. 이전 사건들은 샤이니헌터스(ShinyHunters) 및 UNC6395의 소행으로 추정되었으나, 이번 공격은 새로운 위협 행위자에 의해 수행된 것으로 보인다.

헌트레스는 자신을 ‘Mr Brean’이라고 부르는 위협 행위자로부터 협박성 연락을 받았다고 밝혔다. 이 해커는 2026년 4월에 등장한 금전 갈취 조직인 ‘이카루스’(Icarus)와 연계된 세션 메신저(Session Messenger) ID를 제시했다.

이카루스의 다크웹 유출 사이트에는 5월 초에 피해자로부터 훔친 데이터를 이미 게시한 기록(현재는 이용 불가)이 있으며, 6월 16일에는 세일즈포스에서 훔친 데이터를 가리키는 또 다른 게시물이 올라왔다. 헌트레스는 “데이터 포인트가 일치하는 것을 볼 때, 이카루스 조직이 클루 침해와 이번 공급망 공격에 책임이 있다고 보인다”라고 전했습니다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>