Salesforce·클루 배틀카드스 앱 연동 중단… OAuth 토큰 남용 Incident

최근 클라우드 CRM 플랫폼인 Salesforce가 경쟁 인텔리전스 솔루션 제공업체 클루(Klue)의 배틀카드스(Battlecards) 앱과 모든 연동을 일시적으로 중단했다. Salesforce는 이 조치를 “앱 연결을 통한 이상 활동 감지 및 일부 고객 데이터 무단 접근 가능성” 때문에 취했다고 밝혔다. Salesforce는 해당 문제가 자체 플랫폼의 취약점이 아니라 클루 앱의 연결 구조에서 비롯된 것이라고 명확히 선을 그었다.Salesforce는 이 조치를 “앱 연결을 통한 이상 활동 감지 및 일부 고객 데이터 무단 접근 가능성” 때문에 취했다고 밝혔다. Salesforce는 해당 문제가 자체 플랫폼의 취약점이 아니라 클루 앱의 연결 구조에서 비롯된 것이라고 명확히 선을 그었다.

이번 인시던트는 단순히 기술적 결함이 아니라, 공격자가 클루의 레거시 인증 정보를 노린 전형적인 공급망 공격(SaaS-to-SaaS 공격)으로 보인다. 클루의 최고경영자 제이슨 스미스는 “공격자가 클루의 통합 서비스에 사용된 레거시 자격 증명을 탈취한 후, 이를 바탕으로 클루와 타 플랫폼(예: Salesforce) 간의 OAuth 토큰을 획득했다”고 설명했다. 이 토큰을 통해 공격자는 클루를 거쳐 연결된 고객 환경 내 데이터에 접근할 수 있었다는 것이다. 클루는 즉시 영향을 받은 인증 정보와 토큰을 폐기하고, 불법 코드 제거 및 원격 접근 차단, 의심스러운 연동 비활성화 등의 대응 조치를 취했다고 밝혔다.클루의 최고경영자 제이슨 스미스는 “공격자가 클루의 통합 서비스에 사용된 레거시 자격 증명을 탈취한 후, 이를 바탕으로 클루와 타 플랫폼(예: Salesforce) 간의 OAuth 토큰을 획득했다”고 설명했다. 이 토큰을 통해 공격자는 클루를 거쳐 연결된 고객 환경 내 데이터에 접근할 수 있었다는 것이다. 클루는 즉시 영향을 받은 인증 정보와 토큰을 폐기하고, 불법 코드 제거 및 원격 접근 차단, 의심스러운 연동 비활성화 등의 대응 조치를 취했다고 밝혔다.

Salesforce와 클루의 공식 발표: 무엇이 달라졌나?

Salesforce는 2026년 6월 11일 클루 배틀카드스 앱과의 모든 연동을 차단한 뒤, 고객들에게 “앱 연결을 통한 비정상적 접근 시도가 감지되었다”고 경고했다. Salesforce는 “이 문제는 Klue의 앱 연결에 국한된 문제이며, Salesforce 자체 플랫폼의 취약점과는 무관하다”고 강조했다. 다시 말해, Salesforce 사용자 입장에서는 CRM 플랫폼 자체는 안전하지만, 클루라는 서드파티 앱을 통한 연결 경로를 통해 데이터가 노출될 위험이 있었다는 뜻이다. Salesforce는 “이 문제는 Klue의 앱 연결에 국한된 문제이며, Salesforce 자체 플랫폼의 취약점과는 무관하다”고 강조했다. 다시 말해, Salesforce 사용자 입장에서는 CRM 플랫폼 자체는 안전하지만, 클루라는 서드파티 앱을 통한 연결 경로를 통해 데이터가 노출될 위험이 있었다는 뜻이다.

클루 측은 2026년 6월 12일 자체 보안 팀이 “클루의 통합 인프라 일부에 무단 접근이 감지되었다”고 밝히며, 공격 경로가 레거시 자격 증명 탈취임을 인지했다. 클루는 공격자가 이 자격 증명을 바탕으로 OAuth 토큰을 획득했으며, 이를 통해 Salesforce를 포함한 여러 타 플랫폼과의 연결을 통해 고객 데이터에 접근했다고 설명했다. 클루는 “현재까지 조사 결과, 클루 자체 플랫폼 내 고객 콘텐츠는 영향을 받지 않았다”고 밝혔다. 클루는 공격자가 이 자격 증명을 바탕으로 OAuth 토큰을 획득했으며, 이를 통해 Salesforce를 포함한 여러 타 플랫폼과의 연결을 통해 고객 데이터에 접근했다고 설명했다. 클루는 “현재까지 조사 결과, 클루 자체 플랫폼 내 고객 콘텐츠는 영향을 받지 않았다”고 밝혔다.

이번 인시던트는 SaaS(SaaS-to-SaaS) 환경에서 발생한 전형적인 연쇄 공격 사례다. 클루의 통합 서비스에 사용된 레거시 인증 정보가 공격 대상이 되었고, 이를 통해 클루와 연결된 타 SaaS(예: Salesforce) 간의 OAuth 토큰이 탈취되었다. 공격자는 이 토큰을 이용해 클루를 경유한 간접적인 접근 채널을 확보한 것이다. SaaS-to-SaaS 환경에서 발생한 전형적인 연쇄 공격 사례다. 클루의 통합 서비스에 사용된 레거시 인증 정보가 공격 대상이 되었고, 이를 통해 클루와 연결된 타 SaaS(예: SalesFoce) 간의 OAuth 토큰이 탈취되었다. 공격자는 이 토큰을 이용해 클루를 경유한 간접적인 접근 채널을 확보한 것이다.

영향을 받은 데이터와 피해 사례: 누가 어떤 정보가 노출됐나?

Salesforce는 “일부 고객 데이터가 무단 접근을 받았을 가능성이 있다”고만 밝혔으나, 클루의 고객인 사이버보안 기업 헌트리스(Huntress)는 보다 구체적인 피해 상황을 공개했다. 헌트리스는 “클루를 통해 Salesforce 계정에서 비즈니스 연락처, 견적서, 기타 영업 관련 데이터 및 메시지가 복제되었다”고 밝혔다. 헌트리스는 “공격으로 인해 노출된 데이터는 영업 관련 정보에 한정되며, 비밀번호, 결제 카드 정보, 헌트리스 에이전트 또는 수집된 텔레메트리 데이터와 같은 민감한 정보는 포함되지 않았다”고 강조했다. 헌트리스는 “클루를 통해 Salesforce 계정에서 비즈니스 연락처, 견적서, 기타 영업 관련 데이터 및 메시지가 복제되었다”고 밝혔다. 헌트리스는 “공격으로 인해 노출된 데이터는 영업 관련 정보에 한정되며, 비밀번호, 결제 카드 정보, 헌트리스 에이전트 또는 수집된 텔레메트리 데이터와 같은 민감한 정보는 포함되지 않았다”고 강조했다.

클루의 CEO 제이슨 스미스는 “클루의 통합 인프라에 무단 접근이 발생했으며, 공격자가 클루를 통해 연결된 고객 환경 내 데이터에 접근할 수 있었다”고 밝혔다. 이는 클루의 통합 서비스가 여러 SaaS 플랫폼과 연결되어 있었음을 의미하며, 클루를 통해 연결된 모든 고객이 간접적인 위협에 노출되었을 가능성이 있음을 시사한다. 클루의 통합 서비스가 여러 SaaS 플랫폼과 연결되어 있었음을 의미하며, 클루를 통해 연결된 모든 고객이 간접적인 위협에 노출되었을 가능성이 있음을 시사한다.

한편, 익스트로션 그룹 ‘이카루스(Icarus)’가 클루의 고객 데이터를 탈취·유출했다고 주장하며 협박 메일을 발송했다는 보도도 나왔다. 헌트리스 직원은 “‘극비 이메일’이라는 제목의 메일을 받았으며, ‘Salesforce 데이터가 다운로드되었다. 48시간 내 대응하라’는 내용이었다”고 밝혔다. 이카루스는 클루의 고객 데이터를 확보한 후, 협박을 통해 금전을 요구할 가능성이 높다. 이는 클루와 연결된 모든 고객이 이카루스의 표적이 될 수 있음을 의미한다. 익스트로션 그룹 ‘이카루스(Icarus)’가 클루의 고객 데이터를 탈취·유출했다고 주장하며 협박 메일을 발송했다는 보도도 나왔다. 헌트리스 직원은 “‘극비 이메일’이라는 제목의 메일을 받았으며, ‘Salesforce 데이터가 다운로드되었다. 48시간 내 대응하라’는 내용이었다”고 밝혔다. 이카루스는 클루의 고객 데이터를 확보한 후, 협박을 통해 금전을 요구할 가능성이 높다. 이는 클루와 연결된 모든 고객이 이카루스의 표적이 될 수 있음을 의미한다.

OAuth 토큰 남용: 어떻게 공격이 가능했나?

클루는 공격자가 “클루의 통합 서비스에 사용된 레거시 자격 증명을 탈취한 후, 이를 바탕으로 OAuth 토큰을 획득했다”고 밝혔다. OAuth 토큰은 SaaS 간 연동을 위한 인증 수단으로, 일반적으로 안전하게 관리되어야 한다. 그러나 레거시 인증 정보가 공격 대상이 되면, 공격자는 이 토큰을 탈취해 클루를 경유한 간접적인 접근 채널을 확보할 수 있다. 클루는 공격자가 “클루의 통합 서비스에 사용된 레거시 자격 증명을 탈취한 후, 이를 바탕으로 OAuth 토큰을 획득했다”고 밝혔다. OAuth 토큰은 SaaS 간 연동을 위한 인증 수단으로, 일반적으로 안전하게 관리되어야 한다. 그러나 레거시 인증 정보가 공격 대상이 되면, 공격자는 이 토큰을 탈취해 클루를 경유한 간접적인 접근 채널을 확보할 수 있다.

클루는 “공격자가 클루의 통합 인프라에 무단 접근을 시도했으며, 이를 통해 OAuth 토큰을 획득했다”고 밝혔다. 공격자는 이 토큰을 이용해 클루를 통해 연결된 고객 환경 내 데이터에 접근할 수 있었다. 특히, 클루는 “공격자가 클루의 통합 인프라에 무단 접근을 시도했으며, 이를 통해 OAuth 토큰을 획득했다”고 밝혔다. 공격자는 이 토큰을 이용해 클루를 통해 연결된 고객 환경 내 데이터에 접근할 수 있었다. 특히, 클루는 “클루 자체 플랫폼 내 고객 콘텐츠는 영향을 받지 않았다”고 밝혔지만, 클루를 경유한 간접적 접근 경로가 노출되었다는 점에서 보안 위협은 여전히 존재한다.

이번 공격은 OAuth 토큰의 중요성과 레거시 인증 정보 관리의 중요성을 다시 한번 주목시켰다. 많은 조직이 SaaS 간 연동을 위해 OAuth를 사용하지만, 레거시 인증 정보가 공격 대상이 되면 전체 연결망이 위협받을 수 있다. 특히, 클라우드 환경에서 레거시 인증 정보는 종종 방치되는 경우가 많아, 공격자의 주요 표적이 되고 있다. 많은 조직이 SaaS 간 연동을 위해 OAuth를 사용하지만, 레거시 인증 정보가 공격 대상이 되면 전체 연결망이 위협받을 수 있다. 특히, 클라우드 환경에서 레거시 인증 정보는 종종 방치되는 경우가 많아, 공격자의 주요 표적이 되고 있다.

공급망 공격(SaaS-to-SaaS)의 새로운 패턴: 왜 더 위험한가?

이번 인시던트는 SaaS-to-SaaS 공격의 새로운 패턴을 보여준다. 공격자는 클루라는 중간 SaaS를 경유해 Salesforce와 같은 타 SaaS로 접근했으며, 이는 공급망 공격의 전형적인 형태다. SaaS-to-SaaS 공격은 단일 플랫폼의 보안 취약점을 노리는 것이 아니라, 여러 연결된 SaaS 간의 취약점을 악용하는 방식으로 진행된다. 공격자는 클루라는 중간 SaaS를 경유해 Salesforce와 같은 타 SaaS로 접근했으며, 이는 공급망 공격의 전형적인 형태다. SaaS-to-SaaS 공격은 단일 플랫폼의 보안 취약점을 노리는 것이 아니라, 여러 연결된 SaaS 간의 취약점을 악용하는 방식으로 진행된다.

공급망 공격은 공격 대상이 되는 SaaS의 고객에게까지 영향을 미치며, 보안 Incident의 범위를 넓힌다. 특히, 클루와 같은 경쟁 인텔리전스 솔루션은 고객의 영업 데이터와 같은 민감한 정보에 접근할 수 있는 권한을 갖고 있기 때문에, 공격 대상이 되면 피해 범위가 더욱 커질 수 있다. 공급망 공격은 공격 대상이 되는 SaaS의 고객에게까지 영향을 미치며, 보안 Incident의 범위를 넓힌다. 특히, 클루와 같은 경쟁 인텔리전스 솔루션은 고객의 영업 데이터와 같은 민감한 정보에 접근할 수 있는 권한을 갖고 있기 때문에, 공격 대상이 되면 피해 범위가 더욱 커질 수 있다.

이번 공격은 SaaS-to-SaaS 환경에서 발생한 보안 Incident의 심각성을 다시 한번 보여준다. 많은 조직이 SaaS 간 연동을 통해 업무 효율성을 높이지만, 연동의 복잡성이 증가할수록 보안 위협도 함께 커지고 있다. 조직은 SaaS 간 연동을 관리할 때, 단순히 기능적 연결성만을 고려해서는 안 되며, 보안 위험을 최소화하기 위한 체계적인 관리가 필요하다. 많은 조직이 SaaS 간 연동을 통해 업무 효율성을 높이지만, 연동의 복잡성이 증가할수록 보안 위협도 함께 커지고 있다. 조직은 SaaS 간 연동을 관리할 때, 단순히 기능적 연결성만을 고려해서는 안 되며, 보안 위험을 최소화하기 위한 체계적인 관리가 필요하다.

클루의 대응 조치와 복구 과정: 어떤 조치가 취해졌나?

클루는 이번 Incident에 대해 “레거시 자격 증명 탈취 후 OAuth 토큰 획득, 무단 코드 배포, 데이터 접근”이라는 다단계 공격을 감지했다고 밝혔다. 클루는 즉시 영향을 받은 인증 정보와 OAuth 토큰을 폐기했으며, 불법 코드 제거, 원격 접근 차단, 의심스러운 연동 비활성화 등의 대응 조치를 취했다. 클루는 “클루의 통합 인프라에 무단 접근이 감지되었으며, 공격자는 OAuth 토큰을 획득해 클루를 경유한 데이터 접근을 시도했다”고 밝혔다. 클루는 즉시 영향을 받은 인증 정보와 OAuth 토큰을 폐기했으며, 불법 코드 제거, 원격 접근 차단, 의심스러운 연동 비활성화 등의 대응 조치를 취했다.

클루는 또한 “클루 자체 플랫폼 내 고객 콘텐츠는 영향을 받지 않았다”고 밝혔지만, 클루를 경유한 간접적 접근 경로가 노출되었다는 점에서 보안 위협은 여전히 존재한다. 클루는 현재 “포괄적인 조사를 진행 중”이며, 추가적인 보안 강화 조치를 계획하고 있다. 클루는 “클루 자체 플랫폼 내 고객 콘텐츠는 영향을 받지 않았다”고 밝혔지만, 클루를 경유한 간접적 접근 경로가 노출되었다는 점에서 보안 위협은 여전히 존재한다. 클루는 현재 “포괄적인 조사를 진행 중”이며, 추가적인 보안 강화 조치를 계획하고 있다.

클루의 대응 조치는 SaaS-to-SaaS 공격에 대한 일반적인 대응 패턴을 따르고 있다. 우선, 영향을 받은 인증 정보와 토큰을 폐기하고, 불법 코드를 제거하며, 원격 접근을 차단하는 등 공격의 확산을 막는 조치를 취했다. 또한, 의심스러운 연동을 비활성화하고, 보안 감사 및 모니터링을 강화하는 등 사후 관리를 진행하고 있다. SaaS-to-SaaS 공격에 대한 일반적인 대응 패턴을 따르고 있다. 우선, 영향을 받은 인증 정보와 토큰을 폐기하고, 불법 코드를 제거하며, 원격 접근을 차단하는 등 공격의 확산을 막는 조치를 취했다. 또한, 의심스러운 연동을 비활성화하고, 보안 감사 및 모니터링을 강화하는 등 사후 관리를 진행하고 있다.

기업과 사용자에게 주는 시사점: 어떻게 대응해야 하나?

이번 Incident는 SaaS-to-SaaS 환경에서 발생한 보안 사고의 심각성을 다시 한번 상기시킨다. 특히, 클루와 같은 서드파티 앱을 통해 Salesforce와 같은 주요 SaaS에 접근하는 경우, 보안 위협이 간접적으로 전파될 수 있음을 보여준다. 조직은 SaaS-to-SaaS 환경에서 발생한 보안 사고의 심각성을 다시 한번 상기시킨다. 특히, 클루와 같은 서드파티 앱을 통해 Salesforce와 같은 주요 SaaS에 접근하는 경우, 보안 위협이 간접적으로 전파될 수 있음을 보여준다.

첫째, 조직은 SaaS 간 연동에 사용되는 OAuth 토큰과 인증 정보를 철저히 관리해야 한다. 레거시 인증 정보는 공격 대상이 될 가능성이 높으므로, 정기적인 감사와 폐기를 통해 보안 위협을 최소화해야 한다. 조직은 SaaS 간 연동에 사용되는 OAuth 토큰과 인증 정보를 철저히 관리해야 한다. 레거시 인증 정보는 공격 대상이 될 가능성이 높으므로, 정기적인 감사와 폐기를 통해 보안 위협을 최소화해야 한다.

둘째, SaaS-to-SaaS 공격의 위험성을 인지하고, 서드파티 앱의 보안 상태를 정기적으로 점검해야 한다. 특히, 클루와 같은 경쟁 인텔리전스 솔루션은 고객의 민감한 영업 데이터를 다루기 때문에, 보안 관리 수준을 면밀히 확인해야 한다. SaaS-to-SaaS 공격의 위험성을 인지하고, 서드파티 앱의 보안 상태를 정기적으로 점검해야 한다. 특히, 클루와 같은 경쟁 인텔리전스 솔루션은 고객의 민감한 영업 데이터를 다루기 때문에, 보안 관리 수준을 면밀히 확인해야 한다.

셋째, 보안 사고 발생 시 신속한 대응과 투명성이 중요하다. 클루는 이번 Incident에 대해 즉각 대응 조치를 취했으며, 피해 범위를 공개하는 등 투명한 커뮤니케이션을 유지했다. 조직도 유사한 Incident 발생 시, 신속한 대응과 투명한 커뮤니케이션을 통해 피해를 최소화하고, 고객 신뢰를 유지해야 한다. 클루는 이번 Incident에 대해 즉각 대응 조치를 취했으며, 피해 범위를 공개하는 등 투명한 커뮤니케이션을 유지했다. 조직도 유사한 Incident 발생 시, 신속한 대응과 투명한 커뮤니케이션을 통해 피해를 최소화하고, 고객 신뢰를 유지해야 한다.

향후 전망과 주의 사항: 어떤 변화가 예상되는가?

이번 Incident는 SaaS-to-SaaS 환경에서 발생하는 보안 위협이 점점 더 복잡해지고 있음을 보여준다. 공격자는 레거시 인증 정보와 OAuth 토큰을 악용해 공급망 공격을 시도하고 있으며, 이는 보안 관리자에게 새로운 도전 과제를 던지고 있다. SaaS-to-SaaS 환경에서 발생하는 보안 위협이 점점 더 복잡해지고 있음을 보여준다. 공격자는 레거시 인증 정보와 OAuth 토큰을 악용해 공급망 공격을 시도하고 있으며, 이는 보안 관리자에게 새로운 도전 과제를 던지고 있다.

향후 SaaS 업체들은 OAuth 토큰 관리와 레거시 인증 정보 감사에 대한 보안 정책을 강화할 것으로 예상된다. 또한, 서드파티 앱의 보안 상태를 정기적으로 점검하고, 보안 감사 및 모니터링을 강화하는 등 보안 체계를 개선할 것이다. SaaS 업체들은 OAuth 토큰 관리와 레거시 인증 정보 감사에 대한 보안 정책을 강화할 것으로 예상된다. 또한, 서드파티 앱의 보안 상태를 정기적으로 점검하고, 보안 감사 및 모니터링을 강화하는 등 보안 체계를 개선할 것이다.

기업과 사용자도 SaaS-to-SaaS 환경의 보안 위험성을 인지하고, 정기적인 보안 점검과 인증 정보 관리를 통해 보안을 강화해야 한다. 특히, 클라우드 환경에서 레거시 인증 정보는 종종 방치되는 경우가 많으므로, 정기적인 감사와 폐기를 통해 보안 위협을 최소화해야 한다. SaaS-to-SaaS 환경의 보안 위험성을 인지하고, 정기적인 보안 점검과 인증 정보 관리를 통해 보안을 강화해야 한다. 특히, 클라우드 환경에서 레거시 인증 정보는 종종 방치되는 경우가 많으므로, 정기적인 감사와 폐기를 통해 보안 위협을 최소화해야 한다.

결론: 보안 관리의 새로운 기준을 세워야 할 때

Salesforce와 클루의 Incident는 SaaS-to-SaaS 환경에서 발생하는 보안 위협이 얼마나 심각한지를 다시 한번 보여준다. 공격자는 레거시 인증 정보와 OAuth 토큰을 악용해 공급망 공격을 시도하고 있으며, 이는 보안 관리자에게 새로운 도전 과제를 던지고 있다. SaaS-to-SaaS 환경에서 발생하는 보안 위협이 얼마나 심각한지를 다시 한번 보여준다. 공격자는 레거시 인증 정보와 OAuth 토큰을 악용해 공급망 공격을 시도하고 있으며, 이는 보안 관리자에게 새로운 도전 과제를 던지고 있다.

조직은 SaaS 간 연동의 편리성을 높이면서도, 보안 위협을 최소화하기 위한 체계적인 관리가 필요하다. 특히, OAuth 토큰과 레거시 인증 정보의 관리, 서드파티 앱의 보안 상태 점검, 보안 사고 발생 시 신속한 대응과 투명한 커뮤니케이션을 통해 보안을 강화해야 한다. SaaS 간 연동의 편리성을 높이면서도, 보안 위협을 최소화하기 위한 체계적인 관리가 필요하다. 특히, OAuth 토큰과 레거시 인증 정보의 관리, 서드파티 앱의 보안 상태 점검, 보안 사고 발생 시 신속한 대응과 투명한 커뮤니케이션을 통해 보안을 강화해야 한다.

이번 Incident를 계기로, SaaS-to-SaaS 환경의 보안 관리 기준이 새롭게 정립될 필요가 있다. 보안 관리자는 레거시 인증 정보의 관리와 OAuth 토큰의 보안을 강화하고, 서드파티 앱의 보안 상태를 정기적으로 점검해야 한다. 또한, 보안 사고 발생 시 신속한 대응과 투명한 커뮤니케이션을 통해 피해를 최소화하고, 고객 신뢰를 유지해야 한다. SaaS-to-SaaS 환경의 보안 관리 기준이 새롭게 정립될 필요가 있다. 보안 관리자는 레거시 인증 정보의 관리와 OAuth 토큰의 보안을 강화하고, 서드파티 앱의 보안 상태를 정기적으로 점검해야 한다. 또한, 보안 사고 발생 시 신속한 대응과 투명한 커뮤니케이션을 통해 피해를 최소화하고, 고객 신뢰를 유지해야 한다.