Salesloft의 3월 GitHub 해킹으로 시작되어 6개월 동안 감지되지 않은 데이터 유출은 인증 토큰 절도로 이어졌고, 이후 Google, Cloudflare, Palo Alto Networks를 포함한 여러 빅 테크 고객에게 영향을 미쳤습니다. 이 사건은 소프트웨어 공급망의 심각한 취약성을 강조하며 기술 산업 전반에 걸쳐 조사를 강화하고 있습니다.

서론

미국 주식 시장은 주요 소프트웨어 공급업체인 Salesloft와 관련된 중대한 데이터 유출 사건이 공개된 후 기술 부문 내 사이버 보안 위험에 대한 재조명을 받았습니다. 이 사건은 GitHub 계정 침해에서 비롯되었으며, Salesloft의 타사 통합을 사용하는 수많은 '빅 테크' 기업의 민감한 데이터 유출로 이어져 디지털 공급망의 광범위한 취약성을 강조했습니다.

자세한 사건 경과

Salesloft는 2025년 3월 UNC6395(일명 GRUB1 또는 ShinyHunters)로 식별된 정교한 위협 그룹에 의해 GitHub 계정이 침해되었음을 확인했습니다. 이 침입은 약 6개월 동안 감지되지 않았습니다. 이 기간 동안 위협 행위자는 Salesloft의 애플리케이션 환경에 접근하여 코드 저장소를 다운로드하고, 게스트 사용자 계정을 통해 지속적인 접근을 설정했으며, 워크플로를 설정했습니다.

공격의 결정적인 단계는 위협 행위자가 Drift의 Amazon Web Services (AWS) 환경으로 전환하는 것이었습니다. 여기서 UNC6395Drift 고객 통합과 관련된 OAuth 토큰을 획득했습니다. 이 도난된 토큰은 2025년 8월 8일부터 8월 18일 사이에 영향을 받는 기업의 Salesforce 인스턴스에서 대량의 데이터를 접근하고 유출하는 데 사용되었습니다. Cloudflare, Google (GOOGL), Palo Alto Networks, Proofpoint, Tenable, Bugcrowd, PagerDuty, Zscaler, Qualys, Tanium, Rubrik, BeyondTrust를 포함한 700개 이상의 조직이 영향을 받았습니다.

침해된 데이터는 주로 비즈니스 연락처 정보, 판매 계정 기록, 지원 사례 콘텐츠를 포함한 Salesforce CRM 정보였습니다. 일부 경우에는 API 키, 클라우드 자격 증명(예: AWS 접근 키, Snowflake 토큰), VPN 자격 증명과 같은 잠재적으로 내장된 비밀까지 유출되었습니다. 예를 들어, CloudflareSalesforce 테넌트에서 고객 지원 티켓 및 관련 데이터가 유출되었다고 보고했으며, 이에 따라 104개의 Cloudflare API 토큰을 예방적으로 로테이션했습니다. GoogleDrift Email 통합과 연결된 소수의 Gmail 계정에 대한 제한된 접근을 확인했으며, 영향을 받는 토큰을 신속하게 취소하고 통합을 비활성화했습니다.

이에 대해 SalesloftSalesforce는 즉각적인 조치를 취하여 8월 20일에 Drift 애플리케이션의 모든 활성 토큰을 취소했으며, Salesforce는 포괄적인 조사가 완료될 때까지 Drift를 AppExchange에서 일시적으로 제거했습니다. Salesloft는 인시던트 대응을 위해 사이버 보안 회사 Mandiant 및 Coalition을 고용했습니다.

시장 반응 분석

이번 유출 사건은 특히 타사 통합에 의존하는 기업들에게 부정적인 시장 심리를 심화시켰으며, 기술 부문 전반에 걸쳐 위험 회피 심리를 증폭시켰습니다. Salesloft는 사기업이지만, 이번 사건은 상장 고객들에게 직간접적인 재정적 영향을 미칩니다. 영향을 받는 기업들은 이제 인시던트 대응, 포렌식 조사, 광범위한 자격 증명 로테이션, 강화된 보안 프로토콜과 관련된 상당한 예산 외 비용에 직면하고 있습니다.

이번 유출의 핵심 플랫폼인 **Salesforce (CRM)**는 상당한 변동성을 겪었습니다. 주가는 2.58% 하락하여 249.64달러를 기록했습니다. 이 하락은 Salesloft Drift 데이터 유출 사건으로 인해 재무 보고서 발표를 앞두고 사이버 보안 우려가 심화되면서 더욱 가중되었습니다. 옵션 거래자들은 공격적인 풋 옵션 매수를 보여주며 추가 하락에 대한 기대를 나타냈습니다. 광범위한 애플리케이션 소프트웨어 부문도 약세를 보였으며, **Microsoft (MSFT)**는 장중 1.03% 하락하여 AI 구현 위험 및 사이버 보안 취약성에 대한 광범위한 산업 우려를 강조했습니다. 이 사건은 강력한 내부 보안 태세조차도 타사 공급망의 취약성에 의해 훼손될 수 있음을 보여줍니다.

광범위한 맥락 및 함의

이번 Salesloft 유출 사건은 특히 상호 연결된 SaaS 플랫폼의 보안과 관련하여 광범위한 Web3 생태계 및 기업 채택 추세에 대한 중요한 경고 역할을 합니다. 이는 단일 타사 통합의 취약성이 수백 개의 조직에 걸쳐 광범위한 데이터 유출로 이어지는 시스템적 위험을 초래할 수 있음을 분명히 보여줍니다.

"이 사건은 SaaS 애플리케이션 및 기타 타사 통합을 보호하는 데 있어 경계 강화를 위한 중요한 필요성을 강조합니다. 유출된 데이터는 추가 공격을 시작하는 데 사용될 수 있기 때문입니다."

이 사건은 OAuth 토큰 및 연결된 애플리케이션과 관련된 SaaS 보안의 지속적인 사각지대를 강조합니다. 이는 타사 공급업체에 대한 더 엄격한 보안 표준 채택을 가속화하고, 강력한 ID 및 접근 관리 솔루션에 대한 수요를 증가시키며, SaaS 조달을 위한 더 엄격한 실사 프로세스를 필요로 할 것입니다. 투자자 심리는 우수한 공급망 보안 및 인시던트 대응 능력을 보여주는 기업으로 전환될 수 있으며, 디지털 공급망에 약한 연결 고리가 있다고 인식되는 기업은 강화된 조사와 잠재적인 가치 평가 조정을 겪을 수 있습니다. 이 사건은 광범위한 데이터 절도를 위해 비즈니스 간 통합을 특별히 표적으로 삼는 정교한 위협 행위자에 대한 지속적인 모니터링 및 신속한 대응의 필요성을 재확인합니다.

향후 전망

Salesloft 유출 사건의 여파는 계속해서 기술 부문에 파급될 것입니다. 현재 기업들은 Salesforce 환경에서 모든 Salesloft 연결을 즉시 끊고, 관련 소프트웨어를 제거하며, Salesforce에 연결된 모든 타사 애플리케이션 및 통합의 자격 증명을 로테이션할 것을 촉구받고 있습니다.

향후 몇 주 및 몇 달 동안은 자격 증명 취소 및 로테이션, 의심스러운 활동에 대한 철저한 로그 검토 및 감사, 공급업체의 안전 보장 후 통합의 신중한 재인증을 포함한 강화된 보안 프로토콜의 광범위한 구현에 중점을 둘 것입니다. 또한 기업들은 모든 SaaS 통합에 대해 다단계 인증(MFA) 및 최소 권한 접근을 구현하고, 제로 트러스트 접근 제어를 채택할 것으로 예상됩니다. 모든 API 키 및 비밀에 대한 정기적인 로테이션 일정을 포함한 사전 예방적 자격 증명 관리가 표준이 될 것입니다. 이 사건은 또한 조직이 타사 공급업체의 보안 태세를 더 자세히 조사하도록 유도하여 업계 전반의 미래 공급업체 위험 관리 전략을 형성할 것입니다.