클라우드플레어·지스케일러도 뚫렸다… OAuth 취약점에 보안기업까지 줄줄이 피해

클라우드플레어(Cloudflare), 지스케일러(Zscaler), 팔로알토 네트웍스(Palo Alto Networks) 등 주요 보안 기업들이 최근 발생한 세일즈로프트(Salesloft) 보안 침해 사건의 여파로 데이터 유출 피해를 입은 것으로 확인됐다. 이번 사건은 세일즈포스(Salesforce)와 연동된 서드파티 챗봇인 드리프트(Drift)의 OAuth 취약점을 해커들이 악용하면서 확산됐으며, 점차 더 많은 기업들이 피해 대열에 합류하고 있다.

사건의 시작은 2025년 8월 초~중순 사이로, 구글의 위협 인텔리전스 그룹은 이 공격을 UNC6395라는 위협 행위자의 소행으로 추적하고 있다. 공격자들은 Drift가 사용하는 인증 토큰을 통해 고객관계관리(CRM) 데이터에 무단 접근했으며, 해당 피해는 최소 8월 8일부터 8월 18일 사이에 집중된 것으로 분석된다.

세일즈로프트는 자사의 영업 자동화 솔루션 제공업체로, 방문자 데이터 분석과 고객 인게이지먼트를 지원하는 Drift 챗봇 기능을 통해 다수의 기업들과 연동돼 있다. 해당 통합 기능을 통해 해커들은 AWS 접근 키, 스노우플레이크(Snowflake) 토큰, 평문 비밀번호, 기술 지원 사례 정보 등 다양한 종류의 민감 데이터를 탈취했다. 세일즈로프트 측은 Drift–세일즈포스 연동 기능을 사용한 고객만이 피해 대상이라고 주장하지만, 보안 전문가들은 Drift와 연결된 모든 시스템의 토큰을 철회할 필요가 있다고 경고했다.

클라우드플레어는 8월 23일 해당 사실을 통보받았으며, 이후 침해 범위를 자사 블로그를 통해 공개했다. 이 회사는 8월 12일부터 17일 사이, 세일즈포스 테넌트를 통한 침입이 이뤄졌고, 고객 지원 티켓과 관련된 데이터(제목, 연락처, 대화 내용 등)가 유출됐다고 밝혔다. 내부 분석 결과 총 104개의 API 토큰이 발견됐지만 악용 흔적은 없었으며 선제적으로 교체조치가 이뤄졌다.

지스케일러 또한 드리프트 통합을 통해 발생한 침해 사실을 확인했으며, 유출된 정보에는 이름, 직책, 이메일, 전화번호, 지역 및 라이선스 정보 등 일반적인 비즈니스 연락 정보뿐 아니라 원문 형태의 고객지원 사례 내용도 포함됐다. 해당 기업은 모든 API 토큰을 회전하고 외부 위험 대응 조사를 시작했으며, 고객 인증 프로세스를 강화했다.

팔로알토 네트웍스는 이번 보안 사고가 세일즈포스 CRM 환경 내에 국한됐다고 발표했다. 유출된 데이터는 주로 비즈니스 연락처 및 내부 케이스 정보 위주였으나, 경우에 따라 고객이 입력한 자격증명 등의 민감한 데이터도 포함되어 있었던 것으로 드러났다. 회사 측은 현재까지 자사 제품이나 시스템이 직접적으로 손상된 정황은 없으며, 모든 영향을 받은 고객들에게 개별 통지 중이라고 덧붙였다.

이번 사태에 대해 SaaS 보안 기업 앱오므니(AppOmni)의 최고전략책임자 코리 미칼은 "지스케일러와 팔로알토 같은 보안 업계 리더들이 피해를 입었다는 사실은 사건의 심각성을 높인다"며, "지원 티켓에는 API 키, 인증 정보, 아카이브 파일 등 민감한 데이터가 포함될 수 있기 때문에 후속 공급망 공격이나 고객 신뢰 붕괴로 이어질 수 있다"고 지적했다.

기술적으로 다층적이고 정교한 SaaS 인프라가 늘어나는 가운데 이번 침해 사건은 서드파티 통합에 대한 신뢰 기반 보안의 취약함을 적나라하게 드러낸 사례로 평가된다. 피해 기업과 보안 전문가들은 이번 사건을 경고 삼아, OAuth 기반 연동 전반에 대한 감시와 예방 조치 강화를 촉구하고 있다.