Salesloft Drift 침해: 공급업체 간 공격

2025년 XNUMX월 중순, Salesloft Drift 침해 사고가 보고되어 Palo Alto Networks, Salesforce, Cloudflare와 같은 거대 기업과 그 고객사들에 영향을 미쳤습니다. 공격자들은 수백 개의 OAuth 토큰을 훔치고 악용하여 Salesforce 환경에 접근하고 민감한 데이터를 추출했으며, 이는 입증된 결과이자 잠재적인 대규모 피해를 모두 보여주었습니다.

보고서를 읽어보니, 이 사건을 또 다른 "공급망 공격"으로 분류하고 싶지 않았습니다. 하지만 이번 공격은 달랐습니다.

그것은 관련이 있었다 비인간 신원 도용 그리고 신뢰 위반 스테로이드를 투여한 TTP의 측면 이동, 즉 공급업체 간 측면 이동이라고도 합니다. 그것은 기업 간 공격이었습니다. 혹은 훨씬 더 과학적인 방식으로 표현하자면, (B2)ⁿ 공격. 이러한 깨진 신뢰의 사슬로 인해 공격의 피해자들은 자신을 보호하기가 매우 어려워집니다.

그것에 대해 생각해보십시오. 공격자 → 드리프트 → Salesloft → Salesforce → 빠른 → 고객의 고객.

각 홉은 공격 표면을 확장하고 한 번 OAuth 토큰 도난당했을 당시, 공격자들은 각 공급업체를 통해 신뢰할 수 있는 경로를 확보하고 있었습니다. 이미 수백 개의 조직, 도난당한 사례 기록, 그리고 100개 이상의 노출된 API 토큰이 영향을 받은 것으로 입증되었으며, 공격자들이 해당 데이터를 마이닝하여 클라우드 키 및 기타 자격 증명을 확보함에 따라 훨씬 더 광범위한 침해 가능성이 존재합니다.

대규모 조직은 수천 개의 파트너십과 통합을 유지하고 있지만, 실질적인 "안전한 통합" 모델은 없습니다. 이러한 통합 체인은 1:1 이상의 관계로 이어집니다. 그렇다면 이러한 유형의 공격을 어떻게 예방, 탐지 또는 더욱 신속하게 대응하고 도미노 효과로부터 보호할 수 있을까요?

분명히 이것은 또한 더 큰 질문을 제기합니다. 우리는 다음을 추진해야 합니까? SaaS 공급자를 위한 공유 보안 모델AWS, Microsoft, Google Cloud와 같은 클라우드 인프라 거대 기업뿐만 아니라, 이들도 2020년에 비슷한 통화를 한 적이 있죠. 이 글에서는 실제 문제가 어디에 있는지, 공급업체와 CISO가 모든 종속성을 고려하고 궁극적으로 책임을 공유하기 위한 프레임워크를 어떻게 구축할 수 있는지 설명하겠습니다. 측면 이동 위험.

흥미로울 것 같나요? 계속 읽어보세요. 도움이 된다면 여러분의 의견을 듣고 싶습니다.

침해에 대한 추가 세부 정보

다양한 출처(아래 참조)에 따르면, 2025년 6395월 UNC700로 추적된 공격자는 Salesloft의 Drift와 Salesforce의 통합에서 OAuth 갱신 토큰을 훔쳤습니다. 이 토큰을 통해 Drift는 XNUMX명 이상의 고객을 대신하여 Salesforce 인스턴스에 쿼리를 실행할 수 있었습니다. 공격자는 액세스한 후 연락처 데이터, 사례 기록, 심지어 티켓이나 첨부 파일에 포함된 API 키까지 내보냈습니다.

영향을 받은 기업에는 Cloudflare, Proofpoint, Palo Alto Networks와 같은 유명 기업이 포함되었습니다. Cloudflare는 104개의 API 토큰과 민감한 사례 데이터가 유출되었다고 밝혔습니다. Salesforce와 Salesloft는 Drift 토큰을 취소하고 AppExchange에서 해당 앱을 삭제하는 방식으로 대응했으며, 최종 고객들도 대응책으로 이 통합 기능을 비활성화했습니다. 하지만 일부 기업은 접근 권한을 포함한 데이터가 이미 유출되어 대응이 너무 늦었습니다.

추가 분석 결과, 공격자는 Salesloft의 GitHub 저장소에 접근하여 심층적인 정찰을 수행하고 토큰 도용을 조장했을 가능성이 있는 것으로 드러났습니다. Google은 또한 Google Workspace 환경에서 Drift Email OAuth 토큰이 제한적으로 악용되었다고 보고했습니다. 더 심각한 것은 공격자가 도난당한 데이터에서 AWS 키, Snowflake 토큰 및 기타 자격 증명을 검색하여 잠재적 피해를 배가시켰다는 것입니다.

지난 몇 주 동안 게시된 많은 게시물과 기사들이 이 사이버 공격이 "전통적인" 데이터 유출, SaaS 악용, 또는 AI 에이전트 침해라는 관점을 중심으로 전개되는 반면, 이번 사건은 다릅니다. 이는 IAM 복잡성, 또는 간단히 말해서, SaaS, AI, 그리고 비인간 신원(NHI)의 폭발적인 증가 시대에 우리 모두가 직면하고 있는 완전한 IAM 혼란(메시가 아님)입니다. 드리프트 챗봇은 대화를 자동화하도록 설계된 소프트웨어 애플리케이션이므로 자율성이나 독립적인 의사 결정을 기반으로 작동하지 않습니다. 대신, 사전 정의된 워크플로 및 통합 내에서 작동합니다. 그리고 통합에 사용된 OAuth는 NHI(인간이 아닌 정체성).

우리가 배울 수 있는 것

고객으로서 우리는 (B2)ⁿ로부터 보호할 준비가 되어 있지 않습니다.국민건강보험(NHI) 공격

"어떤 공급업체가 영향을 받았는가?"와 "그들은 Salesforce에서 우리에 대해 어떤 데이터와 액세스 권한을 보유하고 있었는가?"라는 기본적인 질문에 답하기는 쉽지 않습니다. 측면 운동 디지털 시스템의 상호 연결성을 드러내는 공격은 해커를 막는 것이 생각보다 어렵다는 것을 보여줍니다. 왜냐하면 우리는 종종 먹이 사슬에 따른 영향을 가장 늦게 알아차리기 때문입니다.

B2B2B 위험은 현실이며, 우리에게는 공동 책임 모델이 필요합니다.

이는 단순히 드리프트 → 세일즈포스 → 고객으로 이어지는 것이 아니었습니다. 드리프트 → 세일즈포스 → 고객 SaaS 데이터 → 클라우드 서비스로 이어지는 것이었습니다. 매 순간마다 폭발 반경이 넓어졌습니다. 공급업체는 공급업체의 공급업체에 대한 책임을 져야 합니다.

토큰은 ID이므로 B2B 거리에 관계없이 그대로 관리해야 합니다.

OAuth 토큰은 단순한 '기술적 접착제'가 아닙니다. OAuth 토큰은 사람이 아닌 신원이므로 인간 계정과 동일한 엄격함으로 관리해야 합니다. 즉, 단기적이고, 범위가 지정되며, 순환되고, 모니터링되어야 합니다. 제대로 보호되지 않으면 누구나(공격자 포함) OAuth 토큰을 사용할 수 있습니다.

귀하의 비밀과 자격 증명도 데이터에 저장됩니다. 귀하의 비밀과 자격 증명뿐만 아니라 귀하의 파트너의 비밀과 자격 증명도 데이터에 저장됩니다.

사건 기록과 첨부 파일에는 민감한 키나 구성 정보가 포함되는 경우가 많습니다. 침해가 발생하면 CRM과 지원 시스템은 신원 정보 유출의 금광이 됩니다. SaaS 데이터의 기밀 정보를 스캔하고 삭제하는 것은 반드시 표준 관행이 되어야 합니다.

중앙 집중식 킬 스위치가 중요합니다

Salesforce가 Drift 토큰을 전 세계적으로 취소할 수 있는 능력은 확산 방지에 도움이 되었습니다. 모든 플랫폼은 대규모로 긴급 취소를 지원할 수 있는 역량을 갖춰야 합니다.

공급망을 넘어서: 이해 (B2)ⁿ

이를 단순히 공급망 공격이나 제3자 위험으로 분류하고 싶은 유혹이 있습니다. 하지만 그런 식의 해석은 너무 광범위하고, 고유한 메커니즘을 감춰버립니다.

여기서 우리가 본 것은 (B2)ⁿ 교차 공격, 즉 공급업체 간 수평 이동의 형태에 더 가깝습니다.

핵심은 다음과 같습니다.

예를 들어 Palo Alto Networks와 같은 고객은 Salesforce와 같은 SaaS 플랫폼을 사용합니다.
가치를 높이기 위해 Palo Alto Networks는 3개의^rd 파티 앱 – Salesloft에서 Salesforce로.
Salesloft는 Palo Alto Networks를 대신하여 Saleloft에서 Salesforce로의 액세스 권한을 부여하는 OAuth 토큰을 보유한 Drift를 인수했습니다.
Palo Alto Networks의 Salesforce 데이터에 API 키와 같은 내장된 비밀이 포함되어 있는 경우 Drift를 침해한 공격자는 Salesforce의 데이터를 악용하여 다른 공급업체의 환경에 더욱 깊숙이 침투할 수 있습니다.

이는 연합된 신뢰이자 암묵적인 신뢰가 연합된 위험으로 변하는 것입니다. 각 통합은 개별적으로는 무해해 보이지만, 서로 연결되면 여러 조직을 연결하는 공격자의 경로를 만듭니다. 따라서 (B2)ⁿ라는 개념이 등장했습니다. 기업 간 연결이 증가하여 노출이 가중되는 것입니다.

공유 책임 모델 구축 (B2)ⁿ SaaS 통합

아래 표에서는 체인의 각 부분이 공급업체 간 수평 이동 공격을 방지하기 위한 책임을 맡는 곳을 확인할 수 있습니다.

공동 책임을 통한 앞으로의 길

새로운 공유 보안 모델에 대한 상호 합의가 이루어질 때까지, 제3자 또는 제4자를 위해 생성된 모든 통합 또는 토큰/키/인증서/ID에 대해 CISO와 IAM 책임자는 공급업체에 토큰 수명 주기, 사용량, 사용 중 이상 징후에 대한 기본 모니터링 등에 대한 가시성을 제공하도록 요구해야 합니다. 최소한 공급업체와 협력하여 "킬 스위치" 또는 새로 고침 버튼의 가용성을 확인해야 합니다.

공급업체 자체를 위해서도 통합 파트너와 최종 고객에게 이러한 가시성을 제공하고, 이를 기본 패키지의 일부로 유료화하는 방안을 모색해야 합니다.