Google, Salesforce 데이터 도난에 대해 조직들에게 경보 발령

Salesforce를 이용하는 조직들은 해커들이 Drift AI 채팅 통합을 담당하는 판매 자동화 플랫폼인 Salesloft를 해킹한 이후, 민감한 데이터가 도난당했을 수 있습니다.

구글의 위협 정보 그룹(GTIG)과 Salesloft가 공동으로 보고했다. 이 공격은 2025년 8월 8일부터 8월 18일 사이에 발생했다. UNC6395로 추적된 공격자들은 Drift 어플리케이션에서 도난당한 OAuth와 새로고침 토큰을 사용해 이번 침입을 수행했다. 이들은 다양한 Salesforce 플랫폼에 침투했다.

“초기 조사 결과, 배우자의 주요 목표는 자격증명을 훔치는 것이었으며, 특히 AWS 접근키, 비밀번호, Snowflake 관련 접근 토큰과 같은 민감한 정보에 집중하였다”라고 Salesloft의 고지서에서 언급하였습니다.

공격자들은 체계적으로 Salesforce 객체에 대한 쿼리를 실행했습니다. 이에는 Cases, Accounts, Users, Opportunities 등이 포함되어 있습니다.

GTIG는 “UNC6395가 쿼리 작업을 삭제함으로써 운영 보안 인식을 보였지만, 로그는 영향을 받지 않았고, 조직은 여전히 데이터 유출의 증거를 찾기 위해 관련 로그를 검토해야 한다”고 주목했습니다.

BleepingComputer는 공격자들이 Tor를 통해 그들의 인프라를 숨기고, AWS와 DigitalOcean과 같은 클라우드 호스팅 서비스를 이용했다고 설명하고 있습니다.

Salesloft와 Salesforce의 보안 대응 조치로는 모든 활성화된 Drift 토큰의 취소와 Salesforce AppExchange에서 임시로 앱을 제거하는 것이 포함되었습니다.

고객들은 계정을 재인증하고 로그인 자격 증명을 변경해야 합니다. Google은 조직에게 Salesforce 객체에서 AWS 키를 확인하도록 권고하며, Snowflake 자격 증명, 비밀번호, VPN 로그인 URL 또한 확인해야 합니다. 관리 직원들은 또한 IP 차단을 구현하고, 앱 권한을 제한하며, 인증 활동을 모니터링해야 합니다.

일부 보고서에서는 ShinyHunters라는 강요 그룹과의 연관성을 제안하였지만, Google은 그들과의 연결을 증명하는 증거를 찾지 못했습니다. “우리는 현재 그들과의 연결을 보여주는 명확한 증거를 찾지 못했습니다.”라고 GTIG의 주요 위협 분석가인 Austin Larsen은 말했습니다.

BleepingComputer는 이번 공격이 Salesforce를 대상으로 한 사회 공학 공격의 일환으로, 직원들을 속여 위험한 애플리케이션을 승인하도록 하는 방식으로 보고 있습니다.

최근에는 구글, 시스코, 아디다스, 루이비통 등의 고위험 조직들이 관련된 침해를 보고했습니다.

Drift-Salesforce 통합을 도입하는 조직들은 자신들의 데이터가 이미 침해당했다고 간주하고, 추가적인 도난으로부터 시스템을 방어하기 위해 즉각적인 대응 절차를 실행해야 합니다.