Salesloft Drift 공격 후 회사를 보호하는 방법

8월 말, 해커들이 AI 챗봇 플랫폼의 내부 작동 방식에 대한 접근 권한을 얻었으며, 그 이후로 이 접근 권한을 사용하여 Salesforce에서 Google Workspace에 이르기까지 기업이 챗봇과 통합한 다른 앱에 침입해 왔습니다.

Salesloft가 인수한 챗봇 에이전트인 Drift는 미국의 영업 및 마케팅 팀에게 인기가 있습니다. 타사 앱과 통합되어 웹사이트 방문자를 영업 리드로 전환합니다. 공격자가 Salesloft Drift에 어떻게 침입했는지는 현재 불분명하지만, 그곳에서 그들은 Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI 및 Salesloft와 통합된 잠재적인 다른 모든 플랫폼에 접근할 수 있는 인증 토큰을 훔쳤습니다.

회사에서 Drift, Salesloft 또는 Salesforce 통합을 사용하는 경우, 이 보안 사고의 영향을 받을 수 있습니다. 보안 연구원들은 모든 OAuth 토큰을 즉시 취소하고 연결된 앱을 감사할 것을 권장합니다. 유출 확인을 기다리지 말고, 유출되었다고 가정하고 지금 행동하세요.

그렇게 하지 않으면 공격자가 이러한 토큰을 사용하여 온라인 환경에 접근할 수 있습니다.

Salesloft Drift 공격 타임라인

Salesloft는 8월 20일에 Drift 통합에 영향을 미치는 보안 문제(새 창)를 처음 공개했습니다.

8월 26일, Google의 위협 정보 그룹은 공격자가 Salesloft에서 훔친 OAuth 토큰을 악용하여 Salesforce 인스턴스에 접근하고 대량의 데이터를 유출했음을 확인하는 결과를 발표(새 창)했습니다.

8월 28일, Google은 공격자가 이러한 액세스 토큰을 사용하여 Drift 통합이 있는 “아주 적은 수의 Google Workspace 계정”의 이메일에도 접근했다고 업데이트하며 이 해킹이 거의 모든 Drift 통합에 영향을 미친다고 지적했습니다. Google은 Slack, Amazon S3, Microsoft Azure 및 OpenAI에 대한 유효한 인증 토큰도 도난당했다고 주장합니다.

그 결과, Google과 Salesforce는 일시적으로 Drift 통합을 비활성화했습니다.

9월 1일, Zscaler는 Drift 공격에서 도난당한 OAuth 및 새로고침 토큰을 사용하여 유출되었음을 확인했습니다(새 창). 공격자는 Salesforce 인스턴스에 침입하여 이름, 이메일, 직책, Zscaler 제품 사용 정보 등을 포함한 민감한 고객 정보를 훔쳤습니다.

이는 Salesforce 인스턴스에 대한 또 다른 최근 공격에 뒤이어 발생한 것으로, Gmail 및 Google Workspace 사용자에 대한 피싱 공격 급증으로 이어졌습니다. Krebs Security(새 창)에 따르면, 두 공격이 관련되어 있는지에 대해서는 의견이 분분합니다.

공급망 공격이란 무엇인가요?

공급망 공격은 공격자가 타사 공급업체를 겨냥하여 조직의 시스템에 침입하는 것입니다. 이 경우 공격자는 Gmail이나 Salesforce를 직접 침해한 것이 아니라, 연결된 시스템에 접근하기 위해 Drift 통합의 OAuth 토큰을 유출시켰습니다.

공급망 공격의 가장 악명 높은 최근 사례 중 하나는 2020년 SolarWinds(새 창) 사건입니다. SolarWinds는 주요 네트워크 관리 소프트웨어 제공업체입니다. 러시아의 지원을 받는 것으로 의심되는 해커들이 SolarWinds를 공격하여 코드에 멀웨어를 심었고, 이는 표준 업데이트 중에 30,000개 이상의 공공 및 민간 조직으로 퍼졌습니다. 이는 아마도 역대 최대 규모의 공급망 공격일 것입니다.

AI 챗봇이 계속해서 표적이 되는 이유

Drift와 같은 AI 에이전트를 모든 종류의 회사 전반에 걸친 수많은 워크플로에 통합하려는 열풍으로 인해 사이버 보안 팀이 업무를 수행하기가 어려워졌으며, AI 회사는 지금까지 공급망 공격에 취약(새 창)한 것으로 판명되었습니다. AI 채택의 가속화, 기술의 참신함, 그리고 모두가 즉석에서 배우고 있다는 사실(새 창)을 감안할 때 이러한 공격은 더욱 흔해질 것입니다.

AI 생태계가 성숙해질 때까지 가장 안전한 조치는 접근을 최소화하고, 통합을 제한하며, 제로 트러스트를 위해 설계된 플랫폼을 사용하는 것입니다. 해커는 항상 회사의 보안 경계에서 인식된 약점을 표적으로 삼으려고 할 것입니다. 통합, 타사 플랫폼 및 외부 컨설턴트는 종종 매력적인 표적으로 간주됩니다. 비즈니스를 위한 데이터 보안 사고 예방에 대해 더 알아보세요.