게인사이트 해킹 파장…세일즈포스 고객 200곳 이상 뚫렸다

소프트웨어 업체 게인사이트(Gainsight)의 보안 침해로 인해 200개 이상의 세일즈포스(Salesforce) 고객 데이터가 유출됐을 가능성이 제기되면서, 여러 글로벌 테크 기업들이 큰 타격을 입을 수 있다는 우려가 커지고 있다.

이번 사이버 공격 사실은 세일즈포스를 통해 지난 20일(현지시간) 처음 공개됐고, 이후 한 구글(GOOGL) 사이버 보안 연구원이 21일 테크크런치에 “200개 넘는 세일즈포스 인스턴스에 영향이 있었던 것으로 파악됐다”고 전했다. 피해 대상에는 아틀라시안, 버라이즌, 깃랩 등 유력 기술 기업들이 포함된 것으로 알려졌다.

게인사이트는 고객 참여 데이터를 관리하는 클라우드 서비스를 제공하며, 슬랙 봇 연동 또는 세일즈포스와의 통합을 통해 사용자 활동 데이터를 수집·가공한다. 이 플랫폼은 사용자가 신규 기능을 얼마나 활용하고 있는지와 같은 행동 패턴까지 추적할 수 있어, 기업의 고객 성공 전략에 핵심적으로 활용된다.

해커들은 이번 해킹에서 세일즈포스 인스턴스와 게인사이트 간 통합 연결을 악용한 것으로 나타났다. 세일즈포스는 해당 공격을 인지한 직후 연결을 차단하는 한편, 게인사이트를 서드파티 소프트웨어 마켓플레이스인 앱익스체인지(AppExchange)에서 일시적으로 제거했다. 세일즈포스 측은 "이번 사건은 세일즈포스 자체 플랫폼의 특정 취약점 때문은 아니다"라고 고객 대상 보안 공지에서 밝혔다.

현재 게인사이트는 보안 대응 강화를 위해 구글 산하 사이버보안 법인 맨디언트를 외부 고문으로 채용해 사고 복구 작업에 돌입했다. 특히 이번 공격은 지난 8월 발생한 세일즈 소프트웨어 업체 세일스로프트(Salesloft) 해킹과 연결됐을 가능성이 높다고 알려졌다. 당시 ‘스캐터드 랩서스 헌터즈(Scattered Lapsus$ Hunters)’라는 해킹 조직이 드리프트(Drift)라는 AI 챗봇을 통해 세일즈포스 OAuth 인증 자격을 탈취해 수백 건의 고객 환경을 손상시킨 바 있다.

이번 사건 관련 또 다른 여파로는 크라우드스트라이크(CRWD)의 전직 직원이 위 해킹 조직에 내부 스크린샷을 유출한 사례가 있다. 회사 측은 이 사건이 게인사이트 해킹과는 무관하며, 자사 네트워크나 고객 데이터에는 영향을 주지 않았다고 공식 입장을 밝혔다.

게인사이트는 지난 2020년 사모펀드 비스타 에쿼티 파트너스에 약 11억 달러(약 1조 5,840억 원)에 인수된 기업으로, SaaS 기반 고객 성공 관리 솔루션 시장에서 영향력을 키워왔다. 하지만 이번 연쇄 해킹 사태는 외부 API 통합을 중심으로 한 클라우드 생태계의 취약성과 함께, OAuth 기반 애플리케이션 연동의 보안 리스크를 다시금 부각시키고 있다.

보안 전문가들은 “통합 인프라에 대한 점검 및 모니터링 기능 없이 단순히 외부 앱을 연동하는 것은 기업 전반에 치명적 위협이 될 수 있다”고 경고하며, 기술 기업들이 제로 트러스트 보안 모델 구축을 서둘러야 한다고 강조하고 있다.