마스터 키 문제: 세일즈 로프트 내부의 침해와 지속적인 위협

2025년 9월, FBI는 두 개의 범죄 그룹인 UNC6395와 UNC6040이 산업 전반에서 활발하게 Salesforce 인스턴스를 침해하고 있다고 경고하는 플래시 경고를 발표했습니다.

UNC6395는 Salesforce와 깊이 연결된 영업 참여 도구인 Salesloft를 침해한 다음, 신뢰할 수 있는 연결을 통해 Salesforce 데이터에 액세스하기 위해 피벗했습니다. 한편, UNC6040은 Salesforce 사용자를 직접 대상으로 하는 별도의 비싱 기반 캠페인을 진행합니다.

UNC6395 캠페인은 공격자가 신뢰할 수 있는 시스템을 탈취할 수 있다면 더 이상 Salesforce 자체를 침해할 필요가 없다는 분명한 경고를 제공합니다. 이 게시물에서는 UNC6395가 Salesloft와 Salesforce 간의 신뢰할 수 있는 통합을 어떻게 활용했는지, 그리고 이를 통해 현대 공급망 리스크에 대해 어떤 시사점을 얻을 수 있는지 살펴봅니다.

UNC6395( )의 영향을 받은 조직은 전 세계 700개 이상으로, 여기에는 Zscaler, 팔로알토 네트웍스, 프루프포인트, 클라우드플레어, 테너블 등의 사이버 보안 회사도 포함됩니다.  

UNC6395의 캠페인이 얼마나 멀리 퍼졌는지, 또는 얼마나 많은 민감한 정보가 여전히 유출되어 있을지는 아직 명확하지 않습니다.  

현재 도난당한 Salesforce 데이터가 탈취 시도를 부추기고 있다는 사실을 알고 있습니다. 한 위협 그룹이 고객 기록이 온라인에 게시된 기업에게 몸값을 요구하는 데이터 유출 사이트를 개설했습니다. Salesforce는 강탈 요구를 지불하지 않겠다고 공개적으로 밝혔습니다.

이러한 새로운 유출 사이트가 UNC6395의 작전에서 직접적으로 비롯된 것인지는 아직 명확하지 않지만, 한 가지 분명한 사실은 자격 증명이 도난당하면 유출된 기록이 반복해서 다시 나타날 수 있다는 것입니다.

"암호부터 인증서까지, 가장 큰 문제는 항상 '어떻게 키를 관리하고 무결성을 유지할 것인가'였습니다."라고 Illumio의 시스템 엔지니어링 디렉터인 마이클 아제이(Michael Adjei)는 말합니다. "이 문제는 사라진 것이 아니라 상호 연결된 세상에서 더 커졌을 뿐입니다."

신뢰할 수 있는 키로 왕국의 잠금을 해제하는 경우

UNC6395의 무기는 Salesloft 통합(통화, 이메일, 채팅을 Salesforce에 동기화하는 영업 참여 플랫폼)에서, 특히 Drift 챗봇 연결을 통해 훔친 OAuth 토큰이었습니다.

공격자는 이러한 토큰을 사용하여 Salesforce 및 기타 연결된 환경에 대한 신뢰할 수 있는 API 수준의 액세스 권한을 얻어 데이터를 조용히 쿼리하고 연락처, 사례, 심지어 AWS 키, VPN 비밀, Snowflake 토큰과 같은 자격 증명을 유출할 수 있었습니다.

이제 Google은 모든 Drift 발행 토큰을 손상된 것으로 취급할 것을 권고합니다.

경계는 더 이상 방화벽이 아닙니다.

통합이 자물쇠이고 OAuth 토큰이 열쇠라면, 그 열쇠가 다른 사람의 손에 들어가면 어떻게 될까요?

현대 기업은 긴밀하게 연결된 시스템에 의존합니다. 하나의 통합이 침해되면 다른 통합도 빠르게 노출될 수 있습니다.

CRM 연결이 한 번만 손상되어도 고객 데이터, 지원 사례 또는 생산성 도구에 저장된 파일이 노출될 수 있습니다. 노트나 티켓에 남겨진 자격 증명과 API 키는 클라우드 환경에 대한 액세스를 열 수 있습니다.

대부분의 엔터프라이즈 스택은 CRM, 참여 플랫폼, 채팅 도구 및 클라우드 스토리지를 연결합니다. 각 연결은 효율성을 향상시키지만 공격자가 공격할 수 있는 경로도 확장합니다.

토큰을 도난당하면 공격자는 사실상 합법적인 통합 권한이 되어 MFA, 감사 로그, 비밀번호 재설정을 완전히 우회할 수 있습니다.

OAuth 토큰이 금인 이유

OAuth 토큰은 설계상 위임된 액세스 권한을 부여합니다. 하지만 이러한 설계는 한 번 신뢰가 부여되면 거의 취소되지 않는다는 약점을 가지고 있습니다.

"수명이 긴 토큰은 직원, 공급업체, 심지어 토큰을 만든 도구보다 더 오래 지속되는 경우가 많으며, 시스템 전반에 걸쳐 보이지 않는 문을 열어두게 됩니다."라고 Adjei는 말합니다.

정상적으로 보이는 API 호출

멀웨어는 시끄럽지만 API 호출은 조용합니다.

이 침해 사고에서 공격자는 합법적인 작업을 모방한 SOQL 및 대량 API 쿼리를 발행하여 눈에 잘 띄지 않게 숨어 있었습니다.

"API는 선팅된 창문이 있는 자동차와 같아서 사람들은 그 안에 사람이 타고 있다고 착각합니다."라고 Adjei는 말합니다. "다른 것을 알 수 있는 유일한 방법은 문을 열어보는 것뿐입니다."

이러한 요청은 유효한 통합에서 발생했기 때문에 시스템에서 정상으로 처리했습니다. 공격자의 행동이 정상적인 비즈니스 활동과 섞여 있기 때문에 탐지가 어렵습니다.

"많은 조직이 사용 중인 모든 애플리케이션과 통합 기능을 파악하지 못하고 있습니다."라고 Adjei는 덧붙였습니다. "토큰은 수년 전에 설정되어 한 번도 회전되지 않았을 수 있습니다. 섀도 IT와 장기 액세스의 조합은 노출이 수개월 동안 지속될 수 있음을 의미합니다."

솔라윈즈에서 세일즈 로프트까지

공격자가 소프트웨어 업데이트에 악성 코드를 삽입한 SolarWinds와 달리 UNC6395는 단 한 줄의 멀웨어도 작성할 필요가 없었습니다. 대신 그들은 신뢰 자체를 악용했습니다.

"솔라윈즈는 각성을 불러일으켰습니다."라고 아제이는 말합니다. "가장 약한 고리인 고도로 통합된 공급업체를 타깃으로 삼는 것이 효과적이라는 것이 입증되었습니다. 이를 침해하면 한 번에 많은 조직에 액세스할 수 있게 됩니다."

솔라윈즈와 같은 코드 기반 공급망 공격에서 토큰 기반 공격으로의 전환은 키가 이미 존재하는 경우 더 이상 멀웨어로 침입할 필요가 없다는 패러다임의 전환을 의미합니다.

침해의 배후에 있는 사람

위협 인텔리전스 분석은 금전적 동기를 가진 사이버 범죄자들이 UNC6395에 처음 접속한 경로를 추적합니다.  일부에서는 이 그룹이 샤이니헌터스가Salesforce에 집중하는 것과 겹친다는 지적이 있지만, UNC6395와 샤이니헌터스 간의 관계는 확인되지 않았습니다.

샤이니헌터스는 광범위한 데이터 브로커 및 사이버 범죄 집단으로 UNC6395의 캠페인과 교차하거나 이로부터 이익을 얻을 수 있지만 귀속은 확정되지 않았습니다.

이제 스캐터드 랩서스 헌터스는 곧 Salesloft에서 데이터를 잃어버렸다고 주장하는 수백 개의 조직을 더 탈취할 것이라고 주장하고 있습니다. Salesforce는 샤이니헌터에 의해 도난당한 것으로 추정되는 타사 Salesloft 데이터의 도난이 핵심 Salesforce 플랫폼의 취약성에서 비롯된 것이 아니라는 점을 강조하고 있습니다.

폭발 반경을 줄이는 방법

결국, 침해는 더 이상 "어쩌면"의 문제가 아니라 공격자가 얼마나 멀리 갈 수 있는지에 대한 문제입니다.

"가시성과 컨텍스트를 통해 갑작스러운 대용량 데이터 전송, 이상 징후, 과도하게 확장된 액세스 등 행동의 변화를 확인할 수 있습니다."라고 Adjei는 말합니다. "하지만 가시성은 행동으로 옮길 때만 가치가 있습니다."

키 분실로 인한 영향을 줄이려면:

• 최소 권한을 적용합니다. 필요 이상으로 범위를 넓게 설정하지 마세요.
• 토큰을 정기적으로 교체하고 취소하세요.
• 연결된 모든 앱과 모든 통합을 감사하세요.
• 비정상적인 API 트래픽과 비정상적인 토큰 사용에 대해 조정된 지속적인 모니터링을 배포하세요.

일루미오 인사이트의 지원 방법

UNC6395와 같은 공격자들은 수백 개의 조직에 침투하기 위해 멀웨어가 필요하지 않았으며, 보이지 않는 신뢰의 경로를 따랐을 뿐입니다. 일루미오 인사이트는 이러한 경로에 빛을 비춰줍니다.  

인사이트는 환경 전반의 시스템 간 통신을 매핑하여 어떤 애플리케이션이 서로 통신하는지, 얼마나 자주, 언제 비정상적으로 보이는지 파악할 수 있습니다. 손상된 OAuth 토큰이 예기치 않은 방식으로 데이터를 이동하기 시작하면 인사이트는 팀이 확산되기 전에 이를 발견하고 차단할 수 있도록 도와줍니다.

주요 기능은 다음과 같습니다:

• 측면 이동 탐지: 시스템 간 통신에 대한 가시성은 환경 내에서 이동하는 공격자를 발견하는 데 필수적입니다.
• 행동 위협 탐지: 기본 도구의 비정상적인 사용을 식별하는 분석은 정상적인 작업에 섞여 있는 활동을 파악하는 데 도움이 됩니다.  
• 경고 우선순위 지정: 공격자가 신뢰할 수 있는 프로세스를 사용하는 경우 일상적인 행동을 필터링하고 의심스러운 패턴을 강조하는 것이 중요합니다.  
• 신속한 격리: 멀웨어 서명을 기다릴 필요 없이 손상된 자산을 신속하게 격리하는 기능을 통해 위협이 확산되기 전에 차단할 수 있습니다.

침해가 코드가 아닌 신뢰를 악용하는 세상에서 Illumio Insights는 방어자가 필요로 하는 가시성과 즉각적인 제어 기능을 실시간으로 제공합니다.

세일즈 로프트 침해 사고는 공격자가 성벽을 폭파할 필요 없이 작동하는 키만 있으면 된다는 교훈을 줍니다.  

열쇠를 사용할 수 있는 경우, 보안 태세는 누가 열쇠를 보유하고 있는지, 얼마나 빨리 열쇠를 차단할 수 있는지에 달려 있습니다.

일루미오 인사이트가 위협이 확산되기 전에 어떻게 위협을 식별하고 차단하는지 알아보세요. 다음과 같은 모든 기능을 경험하세요. 일루미오 인사이트 14일 무료 체험.