[보안뉴스 김형근 기자] 해커 조직 ‘샤이니헌터스’(ShinyHunters)가 고도의 공급망 공격을 감행해 고객 성공 플랫폼 게인사이트(Gainsight)와 세일즈포스 간의 통합을 악용, 200개 이상 기업의 데이터를 침해했다고 주장했다.

이번 공격은 세일즈포스 플랫폼 자체의 취약점을 이용한 것이 아니라, 제3자 애플리케이션을 통해 설정된 신뢰 연결을 악용한 것이 핵심이다.


제3자 에플리케이션 통한 신뢰 연결 악용
세일즈포스는 ‘비정상적인 활동’을 감지한 후 11월 20일 게인사이트가 게시한 애플리케이션과 세일즈포스 간의 연결을 긴급 차단했다.

구글 위협 인텔리전스 그룹(GTIG)은 이 위협 행위자들을 샤이니헌터스 계열사임을 확인했다. 이들은 오스(OAuth) 토큰, 즉 디지털 권한 승인서를 탈취해 공격을 수행했다.

SaaS 환경에서 이 토큰은 게인사이트가 세일즈포스에 사용자 로그인 없이도 통신할 수 있도록 허용하는 ‘디지털 열쇠’ 역할을 한다.

공격자들은 이 토큰을 훔침으로써 다중 인증(MFA) 및 표준 로그인 방어를 우회할 수 있었으며, 신뢰받는 애플리케이션으로 위장해 민감한 기업 데이터를 유출했다.

이러한 방식은 공격자들이 클라우드 환경 내에서 측면 이동하는 동안 전통적인 경계 보안에 의해 탐지되지 않도록 한다.

세일즈포스는 이 문제가 플랫폼 취약점이 아닌 외부 연결 및 게인사이트 통합 자격 증명 관리와 관련이 있음을 강조했다.

현재 고객들은 세일즈포스와 게인사이트 애플리케이션을 연결할 수 없으며, 두 회사는 맨디언트(Mandiant)와 협력해 침해 징후가 있는 조직에 적극적으로 통지하고 있다.

이번 사건은 세일즈 드리프트(Salesloft Drift) 공격과 유사하며, 제3자 권한 관리가 SaaS 생태계 보안에 얼마나 중요한지를 강조한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>