세일즈포스, 게인사이트 앱 ‘이상 활동’ 조사…일부 고객 데이터 노출 가능성

미국 워싱턴 — 세일즈포스(Salesforce)가 게인사이트(Gainsight) 게시 애플리케이션과 관련된 이상 활동을 조사 중이라고 밝히며, 이로 인해 일부 고객 데이터가 노출됐을 가능성을 경고했다다. 회사는 짧은 공지에서 문제의 애플리케이션이 고객 환경에 설치·관리되는 방식이라는 점을 지적하며, 특정 고객의 세일즈포스 데이터에 무단 접근이 가능했을 수 있다고 설명했다다.

2025년 11월 21일, 로이터 통신의 보도에 따르면, 세일즈포스는 자사 상태 포털(status portal)에 게재한 성명에서 게인사이트가 게시한 애플리케이션들에 대해 활성화된 모든 접근 권한을 일시적으로 회수했다고 밝혔다다. 회사는 동시에 세일즈포스 플랫폼 자체의 취약점에서 비롯된 문제라는 징후는 없다고 강조했다다.

세일즈포스는 공지에서 해당 게인사이트 게시 애플리케이션이 고객이 직접 설치하고 관리하는 구조라는 점을 환기하며, 이들 앱이 결과적으로 일부 고객의 세일즈포스 데이터에 대한 무단 접근을 가능하게 했을 수 있다고 밝혔다다. 회사는 위험 완화를 위해 게인사이트 앱에 대한 모든 활성 접근을 철회(revoke)했다고 덧붙였으며, “이 문제는 세일즈포스 플랫폼의 취약점에서 비롯됐다는 어떠한 징후도 없다”고 밝혔다다.

주목

게인사이트는 자체 웹사이트 업데이트에서 “게인사이트 게시 애플리케이션의 액세스 토큰(access tokens)이 철회되기에 이른 이상 활동을 세일즈포스가 조사하는 과정에서 세일즈포스와 긴밀히 협력하고 있다”고 밝혔다다. 로이터는 게인사이트에 추가 논평을 이메일로 요청했으나, 즉각적인 답변은 받지 못했다다.

사건의 범위와 성격은 현재 시점에서 명확히 확정되지 않았다다. 다만 보안 업계에서는 해커들이 서비스형 소프트웨어(SaaS) 간 통합을 악용해 데이터를 탈취하는 사례가 빈발하고 있다고 지적한다다. 통합(integration)은 서로 다른 SaaS 애플리케이션이 API, 커넥터, OAuth 기반 권한 위임 등으로 연동되어 데이터와 기능을 주고받는 구조를 뜻한다다. 이때 특권 접근을 가진 통합 지점은 공격자에게 매력적인 표적이 된다다.

지난달, 알파벳 산하 구글은 오라클의 E-Business Suite에서 발생한 약점의 악용이 100개가 넘는 기업에 영향을 미쳤을 가능성을 제기했다다. 이어 6월에는, 해커들이 세일즈포스 고객사의 직원들을 속여 세일즈포스의 데이터 일괄 가져오기 도구(Data Loader)를 변조한 버전으로 설치하도록 유도해 데이터를 위태롭게 했다고 구글이 밝혔다다. Data Loader는 대용량 데이터의 일괄 업로드·다운로드를 지원하는 세일즈포스의 독점 도구다.

누지 시큐리티(Nudge Security)의 공동 창업자 하이메 바스코(Jaime Vasco)는 “공격자들은 특권 접근을 가진 통합을 손상시킬 수 있다면 핵심 플랫폼 자체를 침해할 필요가 없다”며, “이것이 새로운 공격 표면”이라고 말했다다.

무엇이 문제의 핵심인가: 통합과 권한 위임

주목

이번 사안의 본질은 SaaS 생태계의 상호 연결성에 있다다. 세일즈포스 같은 CRM 플랫폼은 생산성, 고객 성공, 분석 등 수많은 서드파티 애플리케이션과 연동된다다. 이러한 연동은 API 키나 OAuth 토큰(일명 액세스 토큰)을 통해 이루어지며, 토큰이 탈취·오용되면 원 플랫폼의 데이터에 광범위한 접근 권한이 열릴 수 있다다. 세일즈포스가 밝힌 바와 같이 플랫폼 자체 취약점이 아니라도, 통합 계층에서의 이상 활동·구성 오류·공급망(서드파티) 문제 만으로도 데이터 노출이 발생할 수 있다다.

액세스 토큰은 사용자나 애플리케이션이 다른 시스템 자원에 접근할 수 있도록 허용하는 일시적 자격 증명이다다. 편의성과 자동화를 제공하지만, 토큰이 탈취되면 공격자는 합법적 사용자처럼 동작할 수 있다다. 이번에 게인사이트 게시 애플리케이션의 토큰이 철회(revocation)된 것은, 잠재적 오용 가능성 차단을 위한 즉각 조치로 해석된다다.

과거 사례가 보여주는 공격자 전술

로이터 보도에 인용된 구글의 최근 경고는 공급망형(SaaS 간) 취약점 악용의 확산을 시사한다다. 오라클 E-Business Suite의 약점을 악용한 캠페인이 수십~수백 개 기업에 파급됐을 가능성, 변조된 세일즈포스 Data Loader를 통한 사회공학적 기만과 도구 공급망 오염은 모두 핵심 플랫폼 외곽의 통합·도구가 공격의 지렛대가 되는 패턴을 보여준다다. 이는 이번 세일즈포스–게인사이트 사안에서 강조된 “플랫폼 취약점 징후 없음”이라는 메시지와도 궤를 같이한다다.

특히 변조 도구 유포는 직원 단말·운영 절차를 통해 신뢰 경로를 무력화하는 전술로, 다중 인증(MFA) 우회나 API 권한 남용과 결합할 경우 탐지가 더 어려워진다다. 따라서 정품 도구 해시 검증, 서명 검증, 권한 최소화, 행위 기반 탐지는 점차 통합 보안의 표준 절차로 자리잡고 있다다.

용어 풀이^참고

SaaS(서비스형 소프트웨어): 인터넷을 통해 제공되는 소프트웨어. 고객은 설치·유지보수 없이 브라우저로 사용한다다.
통합(Integration): 서로 다른 시스템·앱이 API, 커넥터 등으로 연결되어 데이터·기능을 교환하는 것다.
액세스 토큰: OAuth 등 권한 위임 체계에서 자원 접근을 허용하는 임시 자격 증명이다. 탈취 시 무단 접근 위험이 커진다다.
세일즈포스 Data Loader: 세일즈포스에서 대용량 데이터를 일괄 업·다운로드하는 독점 도구다.
오라클 E-Business Suite: 재무·조달·인사 등 기업 핵심 업무를 지원하는 오라클의 엔터프라이즈 애플리케이션 묶음이다.

이번 공지에서 확인되는 사실

세일즈포스는 게인사이트 게시 애플리케이션과 관련된 이상 활동을 조사 중이다다.
일부 고객 데이터 무단 접근 가능성이 언급됐다다.
대응으로, 세일즈포스는 게인사이트 앱에 대한 모든 활성 접근을 일시 철회했다다.
세일즈포스 플랫폼 취약점의 증거는 없다고 회사는 밝혔다다.
게인사이트는 세일즈포스와 공동 조사 중이며, 액세스 토큰 철회의 발단이 된 이상 활동을 확인 중이라고 전했다다.

전문적 해설: 왜 통합 보안이 핵심인가

기업 환경에서 플랫폼–서드파티–사용자로 이어지는 연결망은 업무 생산성을 크게 높인다다. 그러나 이 연결망 어느 한 지점의 설정 오류, 자격 증명 오남용, 공급망 위협이 발생하면 연쇄적 위험으로 확대될 수 있다다. 특권 접근을 가진 통합은 데이터 대량 접근 권한을 내재하므로, 단 한 번의 침해로도 광범위한 데이터 노출이 야기될 수 있다다. 이번 사례에서 보듯, 플랫폼 코어의 취약점이 없어도 통합 레이어의 가시성·거버넌스가 미흡하면 동일한 수준의 리스크가 현실화된다다.

이에 따라 보안 거버넌스는 애플리케이션 인벤토리화, 권한 최소화(least privilege), 토큰 수명 짧게 설정, 행위 이상 탐지, 통합별 감사 추적을 핵심 축으로 전환되는 추세다. 또한 제로 트러스트 원칙을 통합 경로에 적용해 요청 맥락(사용자·디바이스·위치·시간·행위)을 지속 검증하는 접근이 확산하고 있다다.

시장·이용자에게의 시사점

세일즈포스는 글로벌 CRM의 대표 사업자로, 서드파티 통합 생태계가 방대하다다. 이번 조치는 신속한 접근 철회와 원인 규명이라는 표준 대응 절차에 부합한다다. 현재로서는 사고의 구체적 범위와 영향을 받은 고객 수가 확정되지 않았기에, 고객사 입장에서는 통합별 접근 권한 검토, 최근 활동 로그 점검, 의심 이벤트에 대한 경보 강화 등 선제 점검이 권고된다다. 동시에 “플랫폼 취약점 없음”이라는 메시지는 코어 보안과 통합 보안의 경계를 명확히 인지해야 함을 상기시킨다다.