해커들이 세일즈로프트(Salesloft)가 개발한 챗봇을 악용해 수많은 세일즈포스(Salesforce) 고객사의 데이터를 무단으로 내려받은 사건이 발생했다.
이번 보안 사고는 세일즈로프트와 구글(GOOGL)이 공동으로 조사해 밝힌 내용으로, 공격자는 UNC6395라는 이름으로 추적되는 그룹이다. 이들은 지난 8일부터 최소 약 3주간 기업용 세일즈포스 환경에 대규모로 침투해 민감한 정보를 빼냈다. 구글은 공격자들이 여러 기업의 세일즈포스 인스턴스를 이용해 엄청난 양의 데이터를 추출했으며, 특히 AWS 액세스 키, 비밀번호, 스노우플레이크 관련 토큰 등 보안 자격 증명 수집에 집중했다고 설명했다.
문제의 시작은 세일즈로프트 플랫폼 내에 있는 '드리프트(Drift)'라는 챗봇이었다. 이 챗봇은 웹사이트 방문자와의 대화를 통해 구매 가능성을 예측하고, 해당 데이터는 자동으로 기업의 세일즈포스 시스템에 연동된다. 이 연결 과정에서 사용하는 기술이 바로 OAuth다. 공격자는 드리프트 챗봇의 OAuth 인증 정보를 탈취해, 정식 사용자로 위장한 뒤 고객 기업들의 세일즈포스 환경에 접근한 것으로 나타났다. 드리프트 챗봇을 사용하지 않는 고객은 이번 침해 사건의 영향을 받지 않았다.
정보 추출 방식도 정교했다. 해커들은 세일즈포스 자체 질의 언어인 SOQL을 통해 내부 데이터를 샅샅이 검색했고, 수집된 데이터를 기반으로 다른 침입 경로를 넓힐 수 있는 방안을 모색했다. 또 흔적을 지우기 위해 가상 사설망(VPN)과 토르(Tor)를 이용했고, 실행한 쿼리 기록까지 삭제하며 디지털 포렌식 조사에 대비하는 운용 보안 인식까지 보였다.
세일즈로프트는 침해 사실을 인지한 뒤 문제의 OAuth 연결을 긴급히 종료했으며, 해킹 활동과 관련된 침해 지표(IOC)를 각 기업이 자가 점검에 활용할 수 있도록 공개했다. 구글 측은 피해 기업에게 노출된 세일즈포스 오브젝트 내부를 확인한 뒤, API 키 회수, 인증 정보 변경, 추가 조사 등의 조치를 취할 것을 권고했다.
150억 원 이상에 달하는 보안 피해 가능성이 거론되는 가운데, 이번 사건은 SaaS 플랫폼이 연동 계층에서 보안 허점을 가질 경우 얼마나 막대한 위협으로 번질 수 있는지를 여실히 보여준 사례다. 특히 고객 유치를 위한 자동화 도구가 오히려 기업 보안의 아킬레스건이 될 수 있다는 점에서, 앞으로 더 높은 수준의 앱 간 권한 관리와 인증 체계 강화가 요구되고 있다.