최근 발생한 사이버 보안 침해 사고의 디지털 먼지가 채 가시기도 전에, 또다시 익숙한 장면이 펼쳐졌다. 널리 사용되는 학습 관리 시스템(LMS) ‘캔버스(Canvas)’를 서비스하는 Instructure가 이번 주, 사회 공학 공격의 희생양이 되었다고 밝혔다. 마치 능숙한 도둑이 낡은 자물쇠를 따듯, 해커들은 보안을 우회해 Instructure의 세일즈포스(Salesforce) 인스턴스 내 데이터에 접근했다.
이건 단순한 IT 문제가 아니다. 명백히 알아야 할 더 많은 것을 알고 있어야 하는 이 분야에서, 놀랍도록 빈번하게 악용되는 시스템적 취약점을 보여주는 증상이다. 수많은 기업의 고객 관계를 책임지는 세일즈포스는 데이터 절도범들의 주요 표적이 되었고, Instructure는 점점 더 길어지는 grim ledger(암울한 기록)에 최신 이름으로 올랐다.
Instructure는 사태를 수습하려 애쓰는 중이다. “Instructure의 제품이나 제품 데이터는 접근되지 않았다”고 강조하며, 접근된 데이터는 “주로 비즈니스 이름과 연락처 정보와 같이 공개적으로 이용 가능한 비즈니스 정보”였다고 주장한다. 위기감을 최소화하려는 전형적인 기업의 안심시키기 화법이지만, 민감한 비즈니스 정보가 유출되었다는 근본적인 사실을 지우지는 못한다.
회사 측은 “추가 보안 조치”를 시행했으며 “사이버 보안 전문가”와 협력하고 있다고 밝혔다. 일반적인 절차다. 하지만 그들의 상태 페이지(status page)는 다른 이야기를 들려준다. 바로 지속적인 서비스 중단이다. 5월 1일 기준으로 Canvas Data 2와 Canvas Beta와 같은 서비스는 여전히 점검 중이었고, API 키에 의존하는 도구 사용자들은 문제를 겪고 있다는 보고가 있었다. 이것은 깔끔하게 분리된 단일 사건이 아니다. 파급 효과는 분명히 느껴진다.
세일즈포스의 ‘맹점’
이번 Instructure 침해 사건은 예외가 아니다. 오히려 지난 1년 동안 위협 행위자들이 세일즈포스 환경을 끊임없이 탐색하고 악용해 온 충격적인 추세의 일부다. 사회 공학, 자격 증명 스터핑, 피싱 등 흔한 수법들이 바로 그 ‘원하던 첫 발판’을 마련하는 데 사용된다.
FBI는 심지어 UNC6040(ShinyHunters)과 UNC6395 같은 특정 위협 그룹을 세일즈포스 데이터에 대한 공격적인 추적으로 인해 주목했다. 이들의 수법은 종종 정교해져, 단순한 피싱에서부터 손상된 서드파티 통합을 이용하는 더욱 교활한 공격으로 진화하고 있다. 이것은 단순히 기회를 노린 ‘닥치고 털어’ 식의 범죄가 아니다. 최대한의 가치를 추출하기 위한 전략적이고 다단계적인 작전이다.
우리는 공격자들이 직원이나 관리자를 조종해 악성 OAuth 애플리케이션을 승인하게 만드는 상황을 이야기하고 있다. 일단 시스템 안에 침입하면, 특히 모든 비즈니스의 ‘디지털 롤라덱스’인 ‘계정(Accounts)’과 ‘연락처(Contacts)’ 테이블에서 데이터를 체계적으로 약탈할 수 있다. 도난당한 정보는 이후 협박 시도로 무기화되며, ShinyHunters가 이러한 공격의 중심에 자주 등장한다.
Instructure만이 문제가 아니다. Salesloft Drift 침해 사건을 기억하는가? ShinyHunters는 여러 세일즈포스 객체 테이블에서 무려 15억 건의 데이터 기록을 빼냈다고 주장하며, 수백 개의 회사에 영향을 미쳤다. 이것은 단순한 고객 데이터가 아니다. 공격자들이 API 키와 인증 토큰을 찾아 다른 연결된 클라우드 플랫폼으로 공격 범위를 확장하게 만드는 보물 창고다.
또 다른 교육 기술 기업인 Infinite Campus도 세일즈포스 인스턴스 침해 후 ShinyHunters에게 몸값을 요구받았다. 그리고 불과 지난 1월, 수백만 명의 학생들에게 서비스를 제공하는 교육 기술 거대 기업인 PowerSchool이 타격을 입었고, 놀랍게도 6,200만 명의 학생 데이터가 도난당했다.
제 나름의 통찰: “신뢰의 사슬” 역설
이곳에서 특히 냉혹한 점, 그리고 PR 담당자들이 종종 은근슬쩍 넘어가는 점은 이러한 공격의 진화하는 정교함이다. 더 이상 단순한 일반 사용자 속이기가 아니다. 최신 공격은 기업들이 의존하는, 겉보기에 안전해 보이는 서드파티 통합을 침해하는 것을 포함한다. 이러한 통합은 본질적으로 회사 세일즈포스 인스턴스에 대한 특권적인 접근 권한을 가진다. 이를 “신뢰의 사슬”이라고 생각하라. 공격자들은 정문을 부수지 않는다. 그들은 공급업체 보안의 약한 고리를 찾고, 이미 열쇠를 받은 고리를 이용하는 것이다.
이러한 변화는 심오한 아키텍처 취약점을 나타낸다. 기업들은 점점 더 복잡한 상호 연결된 서비스 생태계를 구축하고 있으며, 이는 효율성을 제공하는 동시에 잠재적인 진입점을 연쇄적으로 만들어낸다. 겉보기에는 사소한 통합 파트너에서의 침해 사고가 그들이 서비스를 제공하는 더 큰 조직에게는 실존적 위협이 될 수 있다. 이는 단순히 보증을 넘어선 지속적이고 심층적인 검증으로, 제3자 위험 관리 및 공급망 보안 접근 방식을 근본적으로 재고해야 함을 시사한다.
“우리는 최근 Instructure가 우리의 세일즈포스 인스턴스를 포함한 다른 회사들과 유사한 사회 공학 공격의 대상이 되었음을 확인했습니다.”
Instructure의 성명은 사실에 기반하지만, 취약성을 강조한다. 단순히 세일즈포스 인스턴스만의 문제가 아니다. 공격자들이 많은 기술적 방어를 우회하게 만드는 것은 바로 “사회 공학” 측면이다. 그들은 방화벽과 싸우는 것이 아니라, 인간의 심리와 싸우는 것이다.
왜 개발자들에게 중요한가?
세일즈포스와 같은 플랫폼을 다루는 개발자와 IT 전문가들에게 이는 끊임없는 전투를 상기시키는 stark reminder(냉혹한 경고)다. 서드파티 애플리케이션 및 통합에 대한 의존도는 생산성 향상에 기여하지만, 상당한 위험을 수반한다. 개발자는 통합 서비스에 부여된 권한을 예리하게 인지하고, OAuth 요청을 철저히 검토하며, 비정상적인 API 활동에 대한 강력한 모니터링을 구현해야 한다.
통합을 액면 그대로 신뢰하던 시대는 끝났다. 이는 사전 예방적인 자세, 연결된 서비스에 대한 지속적인 보안 감사, 그리고 조직의 상호 연결된 클라우드 생태계 내에서 데이터 흐름이 어떻게 이루어지는지에 대한 깊은 이해를 요구한다. 공격 표면은 더 이상 자체 인프라만이 아니다. 그것은 당신이 의존하는 모든 서비스의 웹이다.
세일즈포스에 대한 이러한 끊임없는 공격과 그로 인한 Instructure와 같은 회사의 침해는 더 넓은 변화를 강조한다. 공격자들은 집계된 고가치 데이터 저장소에 대한 접근을 우선시하고 있다. 그들은 단순한 개별 사용자 자격 증명을 찾는 것이 아니라, ‘왕국의 열쇠’를 찾고 있으며, 세일즈포스와 같은 CRM 플랫폼은 점점 더 그 왕국이 되고 있다.
🧬 관련 인사이트
- 더 읽기: Mercor Breach Exposes TeamPCP’s LiteLLM Rampage in Real Time
- 더 읽기: North Koreans Schmoozed Their Way to $280M Drift Heist
자주 묻는 질문
이 맥락에서 사회 공학 공격이란 정확히 무엇인가요? 사회 공학 공격은 사람들을 조종하여 특정 행동을 하도록 만들거나 기밀 정보를 누설하게 하는 것입니다. Instructure의 경우, 직원이 로그인 자격 증명을 누설하거나 악성 애플리케이션을 승인하도록 속여 해커가 세일즈포스 인스턴스에 접근할 수 있게 했을 가능성이 높습니다.
캔버스 사용에 영향을 미치나요? Instructure는 Instructure 제품이나 제품 데이터는 접근되지 않았으며, 침해된 데이터는 주로 공개적으로 이용 가능한 비즈니스 정보였다고 밝혔습니다. 하지만, 상태 페이지에서는 Canvas Data 2와 Canvas Beta와 같은 특정 기능에 대한 지속적인 서비스 중단이 표시되어 일시적으로 일부 사용자에게 영향을 미칠 수 있습니다.
세일즈포스 자체의 보안에 문제가 있나요? 세일즈포스는 강력한 보안 프레임워크를 갖추고 있지만, 다른 복잡한 플랫폼과 마찬가지로 표적이 될 수 있습니다. 최근 침해 사고는 플랫폼의 보안이 사용자 설정 및 보안 방식, 그리고 사회 공학 및 자격 증명 도용 전술에 얼마나 잘 대비하는지에 크게 좌우된다는 점을 보여줍니다.
