위협 브리핑: Salesloft Drift 통합 기능을 악용한 Salesforce 인스턴스 침해

요약

Unit 42는 특정 위협 행위자가 Salesloft Drift 통합 기능을 악용하여 고객의 Salesforce 인스턴스를 침해하는 활동을 관찰했습니다. 본 브리핑은 Unit 42의 관찰 내용과 잠재적 피해 조직을 위한 지침을 제공합니다.

최근 Salesloft의 공지에 따르면, 2025년 8월 8일부터 18일까지 한 위협 행위자가 탈취한 OAuth 크리덴셜을 사용하여 영향을 받는 고객의 Salesforce 환경에서 데이터를 유출했습니다.

Unit 42의 관찰에 따르면, 위협 행위자는 Account, Contact, Case, Opportunity 레코드 등 다양한 Salesforce 객체에서 민감한 데이터의 대량 유출을 수행했습니다. 데이터 유출 후, 이 행위자는 추가 공격을 용이하게 하거나 접근 권한을 확장할 목적으로 획득한 데이터에서 크리덴셜을 적극적으로 스캔한 것으로 보입니다. 또한, 포렌식 방해 기술(anti-forensics)의 일환으로 자신들이 실행한 작업의 증거를 숨기기 위해 쿼리를 삭제한 정황도 포착했습니다.

Salesloft는 영향을 받은 모든 고객에게 공지했으며, 시스템을 보호하고 사고를 억제 및 완화하기 위한 즉각적인 조치를 취했음을 확인했습니다. 여기에는 Drift 애플리케이션에 대한 모든 활성 액세스 토큰과 리프레시 토큰을 선제적으로 폐기하여, 영향을 받는 관리자가 재인증을 하도록 요구하는 조치가 포함됩니다.

Palo Alto Networks는 조직들이 Salesforce 및 Salesloft의 업데이트를 지속적으로 모니터링하고, 아래에 공유된 권장 사항을 따를 것을 권고합니다.

Unit 42 침해 사고 대응팀은 침해 사고 지원 또는 위험을 낮추기 위한 선제적 평가를 제공할 수 있습니다.

조직을 위한 권장 사항

Salesforce와 Salesloft Drift 통합 기능을 사용하는 조직은 이번 사고를 즉각적인 위협으로 간주하고 대응해야 합니다. Salesloft가 토큰 폐기 등 플랫폼 보안을 위해 취한 선제적인 조치 외에도, 잠재적인 영향을 평가하고 추가 위험을 완화하기 위해 다음 권장 사항을 따르는 것이 중요합니다.

즉각적인 조사 및 로그 검토:

• Drift API 통합: 모든 Drift 통합 기능을 철저히 검토하고, 의심스러운 연결, 크리덴셜 탈취, 데이터 유출 징후가 있는지 서드파티 시스템 내의 모든 인증 활동을 검토합니다.
• Salesforce 로그: 8월 8일부터 현재까지의 Salesforce 로그인 기록, 감사 추적(audit trails), API 접근 로그를 면밀히 검토합니다. 특히, Salesforce 이벤트 모니터링 로그(활성화된 경우)에서 Drift 연결 사용자와 관련된 비정상적인 활동이 있는지, Drift 연결 앱(Connected App)의 인증 활동을 검토합니다. 의심스러운 로그인 시도, 비정상적인 데이터 접근 패턴, 그리고 '헌팅 가이던스' 섹션에서 언급된 Python/3.11 aiohttp/3.12.15 사용자 에이전트 문자열 및 알려진 위협 행위자 IP 주소 활동과 같은 지표를 찾습니다. 또한, UniqueQuery 이벤트를 검토하여 공격자가 어떤 Salesforce 객체(예: Account, Contact, Opportunity, Case 등)와 해당 객체 내의 어떤 필드를 쿼리했는지 식별하기 위해 실행된 Salesforce Object Query Language (SOQL) 쿼리를 확인합니다. 필요한 경우, Salesforce 지원 케이스를 열어 위협 행위자가 사용한 특정 쿼리를 확보하는 것을 고려하십시오.
• ID 공급자(IdP) 로그: 사고 기간 동안 Salesforce 또는 기타 통합 애플리케이션에 대한 비정상적인 인증 시도나 성공적인 로그인이 있는지 IdP 로그를 검토합니다.
• 네트워크 로그: 의심스러운 IP로부터의 Salesforce 연결이나 비정상적인 데이터 전송량이 있는지 네트워크 플로우 로그와 프록시 로그를 분석합니다.

노출된 크리덴셜 검토 및 교체:

• 자동화 도구: Trufflehog, GitLeaks와 같은 자동화 도구를 활용하여 코드 저장소, 설정 파일 또는 유출 가능성이 있는 데이터 내의 시크릿(secrets) 및 하드코딩된 크리덴 (하드코딩된 크리덴셜)을 효율적으로 스캔합니다.
• 데이터 정밀 검사: 데이터 유출이 확인되거나 의심되는 경우, 민감한 크리덴셜이 포함되어 있는지 데이터를 검토합니다. 여기에는 AWS 액세스 키 ID(예: AKIA), Snowflake 크리덴셜(예: Snowflake 또는 snowflakecomputing[.]com)과 같은 패턴, password, secret 또는 key와 같은 일반적인 키워드, 그리고 조직별 로그인 URL(예: VPN 또는 SSO 로그인 페이지)과 관련된 문자열 검색이 포함됩니다.
• 즉각적인 교체: 유출된 데이터 내에서 식별된 모든 크리덴셜을 즉시 교체합니다. 여기에는 Salesforce API 키, 연결 앱 크리덴셜 및 침해된 데이터 내에서 발견된 기타 모든 시스템 크리덴셜이 포함되며 이에 국한되지 않습니다.

헌팅 지침

Salesloft Drift 통합 기능 관련 침해 가능성이 우려되는 조직은 즉시 Salesforce 환경 내에서 선제적인 위협 헌팅 활동을 시작해야 합니다. (Salesforce는 Salesforce 보안 사고 조사를 위한 몇 가지 리소스를 제공하고 있습니다.) 중요한 첫 번째 단계는 위협 행위자와 관련된 특정 침해 지표(IoC)에 대해 Salesforce 로그인 및 활동 로그를 철저히 검토하는 것입니다.

방어 담당자는 알려진 위협 행위자 IP 주소를 포함하되 이에 국한되지 않는 의심스러운 IP 주소에서 발생한 로그인을 찾아야 합니다(정보 및 조언은 본 보고서의 '침해 지표' 섹션 참조).

특히 주목해야 할 점은 이러한 로그인 이벤트와 관련된 Python/3.11 aiohttp/3.12.15 사용자 에이전트 문자열의 존재입니다. 이 특정 문자열은 그 자체로 악의적이지 않은 유효한 사용자 에이전트일 수 있지만, 이번 캠페인에서 관찰된 자동화된 대량 데이터 유출을 나타내는 지표이기도 합니다.

이 문자열의 존재가 중요한 이유는 위협 행위자가 aiohttp와 같은 비동기식 Python 라이브러리를 Salesforce의 Bulk API와 결합하여 빠르고 높은 처리량의 데이터 유출을 수행할 수 있기 때문입니다. 이러한 조합을 통해 Account, Contact, Case, Opportunity와 같은 Salesforce 객체에서 대량의 데이터를 효율적으로 추출하여 공격 대상 시스템에서의 체류 시간(time on target)을 최소화할 수 있습니다.

결론

Palo Alto Networks는 크리덴셜을 교체하고 위의 가이드라인에 따라 Drift 통합 기능의 인증 활동을 검증할 것을 강력히 권고합니다. 경계와 검증이 핵심입니다.

조직은 이번 또는 기타 데이터 유출 이벤트로 인해 발생할 수 있는 사회 공학적 공격 시도에 주의해야 합니다.

모범 사례는 다음과 같습니다.

• 요청하지 않은 통신에 대한 회의적 태도: 신뢰할 수 있는 출처에서 온 것처럼 보이더라도, 요청하지 않았거나 비정상적인 이메일, 전화 또는 메시지를 주의 깊게 검토하도록 팀에 권고합니다.
• 요청 검증: 민감한 데이터나 크리덴셜 요청에 대해서는 조치를 취하기 전에 항상 별도의 공식적인 통신 채널을 통해 확인합니다. 예를 들어, 동료로부터 의심스러운 이메일을 받으면 해당 동료에게 직접 전화하여 요청이 합법적인지 확인하십시오. 정보 및 파일 교환은 이메일이 아닌 고객 지원 포털을 통해서만 수행하십시오.
• 제로 트러스트 원칙 구현: 조건부 액세스 정책과 최소 권한 원칙을 갖춘 제로 트러스트(Zero Trust) 태세를 시행하면, 공격자가 직원을 성공적으로 속이더라도 네트워크 내에서 측면 이동(lateral movement)하는 능력을 크게 제한할 수 있습니다.

사회 공학적 공격 및 완화 방법에 대한 자세한 내용은 최근 발간된 '2025 Unit 42 글로벌 침해 사고 대응 보고서: 사회 공학 에디션'을 참조하십시오.

Palo Alto Networks와 Unit 42는 업데이트된 정보를 얻기 위해 상황을 지속적으로 모니터링할 것이며, 추가 정보가 입수되면 본 위협 브리핑을 업데이트할 것입니다.

Salesforce는 고객에게 업데이트와 리소스를 제공할 예정입니다.

침해가 의심되거나 긴급한 문제가 있는 경우, Unit 42 침해 사고 대응팀에 연락하거나 다음 번호로 전화하십시오.

• 북미: 무료 전화: +1 (866) 486-4842 (866.4.unit42)
• 영국: +44.20.3743.3660
• 유럽 및 중동: +31.20.299.3130
• 아시아: +65.6983.8730
• 일본: +81.50.1790.0200
• 호주: +61.2.4062.7950
• 인도: 00080005045107

침해 지표 (Indicators of Compromise)

Salesloft는 헌팅에 사용할 수 있는 일부 IoC를 공개했습니다. 이 공지에 나열된 IP 주소 중 다수는 Tor 종료 노드(exit nodes)이며, Tor 연결을 허용하는 조직에서는 높은 오탐(false positive) 비율을 보일 수 있다는 점에 유의해야 합니다.

추가 리소스

• Salesforce에 연결된 서드파티 Drift 애플리케이션 침해 사고 대응 – Palo Alto Networks