신뢰 사슬을 뚫다: Microsoft가 추적한 ShinyHunters Salesforce 1년 침투의 3대 경로

공격 개요: ShinyHunters 연관 Salesforce 데이터 탈취 캠페인의 전모

2026년 7월, Microsoft 위협 인텔리전스 팀은 ShinyHunters 위협 그룹과 연관된 것으로 분석된 Salesforce 환경 침투 캠페인을 공개했다. 이 캠페인은 약 1년간 기업 Salesforce 환경에 잠복하며 데이터를 탈취한 사례로, 공격자는 Salesforce 플랫폼 자체의 제로데이 취약점을 단 한 건도 사용하지 않은 것으로 보고됐다. 침투의 출발점은 플랫폼 제로데이 같은 코드 결함이 아니라, 조직이 정상적으로 부여한 ‘신원·접근 신뢰’ 자체였던 것으로 분석된다.

  • Microsoft가 ShinyHunters 연관 Salesforce 침투 사례를 3대 침투 경로로 분류·매핑해 공개했다.
  • 공격은 Salesforce 플랫폼 취약점 익스플로잇이 아닌, 이미 부여된 신원·접근 신뢰 사슬 악용에 기반했다.
  • 약 1년간 잠복한 뒤, 탈취한 데이터를 유출 위협 수단으로 삼는 갈취(extortion) 수법으로 금전 등을 요구한 것으로 분석된다.

엔터프라이즈 보안의 초점이 ‘패치 가능한 취약점’에서 ‘누가 누구를 신뢰하고 있는가’로 이동해야 함을 보여주는 사례로 해석된다.

1년간 지속된 침투 활동의 특징

일반적인 공급망 공격이 몇 주~수개월 내 표면화되는 것과 달리, 이번 캠페인은 약 1년의 잠복기를 가졌다. 공격자는 탐지 회피에 최적화된 정찰·유지 단계를 거치며, 데이터가 실제로 외부로 반출되는 시점까지 평소 사용자 활동과 구분되지 않도록 동작한 것으로 보인다. 장기 침투가 가능했던 핵심 이유는 ‘이미 인증된 세션과 권한’을 그대로 활용했기 때문으로 분석된다.

데이터 유출 기반 갈취 모델의 작동 방식

ShinyHunters는 랜섬웨어로 암호화한 뒤 복호화 대가를 요구하는 전통적 모델과 달리, 핵심 데이터를 외부로 반출한 뒤 반출 사실을 압박 수단으로 사용하는 갈취 수법을 사용한다. Salesforce처럼 고객·계약·매출 같은 핵심 영업 데이터가 집중된 SaaS에서는 이 모델의 파괴력이 특히 크다. 데이터의 가치가 암호화보다 더 크기 때문이다.

Microsoft가 매핑한 3대 침투 경로

Microsoft는 이번 침투를 단일 공격 시나리오로 설명하지 않고, 세 가지 침투 경로로 분류·매핑했다. 세 경로 모두 ‘취약점 우회’가 아닌 ‘정상적으로 부여된 신뢰의 남용’이라는 공통 분모를 가지며, 사용자나 운영자의 일상 업무 흐름 속에서 자연스럽게 발생할 수 있는 경로다.

구분 침투 경로 핵심 악용 대상
경로 1 사용자 신뢰 기반 접근 정상 사용자 계정·세션
경로 2 권한 및 토큰 남용 과도 권한, 장기 토큰, OAuth 토큰
경로 3 SaaS 통합·연결 구조 악용 연결 앱, Marketplace 앱, SaaS 간 신뢰 체인

경로 1: 사용자 신뢰 기반 접근

가장 첫 번째 경로는 사람의 신뢰를 이용하는 방식이다. 피싱·자격 재사용·세션 탈취 등으로 확보한 정상 사용자 자격 증명을 사용해 Salesforce에 정상 로그인하고, 이후의 모든 행위가 ‘정상 사용자 행위’로 위장된다. 이상 행위 탐지 시스템 입장에서는 VPN·MFA 통과 후의 정상 세션과 구분이 어렵다.

경로 2: 권한 및 토큰 남용

두 번째 경로는 한 번 부여된 권한과 토큰이 회수되지 않는 문제를 악용한다. 퇴사자 계정, 프로젝트 종료 이후 회수되지 않은 권한, 장기간 유효한 OAuth 리프레시 토큰, 그리고 과도한 API 스코프가 1년간의 잠복을 가능하게 하는 핵심 자원이 된다. 권한이 ‘최소’가 아니라 ‘편리함’에 맞춰져 있을수록 이 경로의 성공률은 높아진다.

경로 3: SaaS 통합·연결 구조 악용

세 번째 경로는 SaaS 생태계 고유의 ‘앱 간 신뢰’ 구조를 노린다. Salesforce에 연결된 마케팅 자동화, BI, 데이터 웨어하우스, 그리고 Marketplace 설치 앱들은 서로의 API 토큰과 웹훅을 신뢰한다. 공격자는 이 신뢰 사슬의 가장 약한 연결 고리를 따라 횡적으로 이동하며, 단일 사용자가 아니라 ‘시스템 간 신뢰’를 통해 데이터를 반출한다. 이 경로가 가장 탐지하기 어렵고, 가장 많은 데이터를 노출시킨 것으로 분석된다.

신원 보안(SaaS/Identity Security) 관점의 시사점

이번 사건은 ‘제로데이 익스플로잇이 아니었다’는 사실 자체가 가장 큰 위협 신호다. 패치 관리와 취약점 스캔만으로 방어가 충분하다는 가정은, 벤더가 보안 책임을 상당 부분 떠안는 SaaS 환경에서는 그 효과가 제한적일 수 있음을 의미한다.

취약점 제로 익스플로잇 공격의 위험성

보안 조직이 패치 처리한 CVE 수를 위험 지표로 삼는 동안, 공격자는 신규 CVE를 사용하지 않고도 1년 가까이 환경 안에 머물 수 있다. 특히 Salesforce처럼 벤더가 관리형으로 제공하는 SaaS에서는 고객사 입장에서 직접 패치할 ‘소스코드’가 없으므로, 전통적 취약점 관리의 효과가 제한된다. 결과적으로 방어의 무게중심은 ‘코드 결함’에서 ‘신원과 권한의 결함’으로 이동해야 한다.

신뢰 사슬 모니터링의 필요성

3대 경로의 공통점은 ‘정상적 신뢰 흐름’ 안에 숨어 있다는 점이다. 따라서 조직이 모니터링해야 할 대상은 단순 로그인 이벤트가 아니라 ‘누가, 어떤 토큰으로, 어떤 앱을 통해, 어디까지 접근했는가’에 대한 신뢰 사슬 전체로 확장되어야 한다. SaaS 환경의 가시성 확보는 이제 IAM(Identity and Access Management) 로그, OAuth 토큰 발급 이력, 연결 앱 인벤토리의 통합 분석을 전제로 한다.

조직을 위한 대응 권고

Microsoft의 침투 경로 매핑은 조직이 단기적으로 점검할 통제 항목으로 번역될 수 있다. 다음 두 축은 모든 SaaS 중심 조직이 우선 점검해야 할 영역으로 분석된다.

권한 최소화 및 토큰 수명 주기 관리

  • 퇴직자·이동자·프로젝트 종료 계정에 대한 권한 회수 프로세스를 주기적으로 감사한다.
  • OAuth 리프레시 토큰의 유효 기간을 가능한 짧게 설정하고, 미사용 토큰은 자동 폐기한다.
  • API 스코프를 기능 단위의 최소 권한으로 분할하고, 광범위 스코프를 가진 키의 사용처를 추적한다.

SaaS 환경에서의 신원 거버넌스 강화

  • Salesforce에 연결된 모든 타사 앱의 인벤토리를 정기적으로 검토하고, 미사용 연결 앱은 제거한다.
  • 사용자 인증 로그, 토큰 발급 로그, 앱 간 호출 로그를 단일 SIEM/IDP 뷰로 통합해 이상 거동을 탐지한다.
  • 관리자 계정·서비스 계정·통합 계정에 대해 사용자 세션과 분리된 거버넌스 정책을 적용한다.

3대 침투 경로가 동시에 작동한 이번 캠페인은, 단일 통제만으로는 차단이 불가능하다는 교훈을 남긴다. 권한 거버넌스, 토큰 수명 주기, SaaS 통합 신뢰 사슬 가시성을 하나의 프로그램으로 묶어 운영할 때, 비로소 ‘신뢰를 통한 침투’에 대한 방어선이 완성되는 것으로 분석된다.

참고 자료: The Hacker News – Microsoft Maps Year-Long ShinyHunters-Linked Salesforce Data Theft Across Three Paths · Microsoft Threat Intelligence 보고서

핵심 정리

  • ShinyHunters 연관 침투는 약 1년간 Salesforce 환경에 잠복하며 데이터를 탈취한 장기 캠페인이다.
  • 공격은 플랫폼 취약점이 아닌, 이미 부여된 신원과 SaaS 통합 신뢰 사슬을 악용한 ‘제로 익스플로잇’ 형태로 나타났다.
  • Microsoft는 침투 경로를 사용자 신뢰, 권한·토큰 남용, SaaS 통합 악용의 3가지로 매핑했다.
  • 데이터 유출 기반 갈취 수법은 랜섬웨어보다 탐지가 늦고, SaaS 데이터의 비즈니스 가치 때문에 파괴력이 크다.
  • 엔터프라이즈 보안의 초점은 취약점 패치에서 신원·접근 신뢰 사슬 검증으로 이동해야 하는 것으로 분석된다.
  • 권한 최소화, 토큰 수명 주기 관리, SaaS 통합 거버넌스 강화가 3대 침투 경로에 대한 핵심 통제 항목이다.

#ShinyHunters #Salesforce #Microsoft #SaaS보안 #신원보안 #데이터탈취 #갈취공격 #신뢰사슬 #침투경로매핑 #엔터프라이즈보안 #토큰남용 #권한관리 #SaaS통합 #위협인텔리전스

댓글 남기기