내용 요약
지난달 잠적을 선언한 해킹 연합 Scattered Lapsus$ Hunters가 다크웹 유출 사이트를 개설해 Salesforce 고객 데이터 10억 건을 탈취했다고 주장하며 금전 협박을 가했습니다. Salesforce는 “플랫폼에 침해가 없었다”고 공식 입장을 밝히며 대응에 나섰습니다.
핵심 포인트
- 공격자 그룹: Scattered Lapsus$ Hunters는 다크웹 유출 사이트를 운영하며 금전 협박을 통한 수익 창출을 목표로 함.
- 대상: Salesforce 고객 데이터 10억 건(39개 조직명 및 샘플 데이터 포함) – 대규모 데이터 유출 및 공개 위협.
- Salesforce 대응: 플랫폼 침해는 없다고 주장하면서 즉각적인 보안 조치와 고객 알림을 진행 중.
기술 세부 내용
1️⃣ Salesforce 플랫폼 보안 구조
| Layer | Key Feature | Why It Matters |
|---|---|---|
| Identity & Access Management (IAM) | Single Sign‑On (SSO), Multi‑Factor Authentication (MFA), Permission Sets | 최소 권한 원칙을 적용해 사용자 접근 제어. |
| Data Layer | Org‑Level Data Separation, Encryption at Rest/Transit | 데이터 격리와 암호화를 통해 내부 침해 최소화. |
| API Security | OAuth 2.0, IP Restrictions, App Exchange Vetting | 외부 앱이 API를 통해 데이터를 가져오거나 조작할 때 검증 필요. |
| Platform Services | Shield Platform Encryption, Field‑Level Encryption | 민감 데이터 보호를 위한 추가 암호화 레이어. |
| Monitoring & Logging | Event Monitoring, Einstein Analytics, Security Health Check | 비정상적 활동을 탐지하고 감사 로그 확보. |
Salesforce는 이러한 다층 방어를 통해 외부 침해를 방지하고 있으며, 내부 데이터 유출을 막기 위해 Org‑Level과 Data‑Level 격리를 적용합니다.
2️⃣ ️♂️ Scattered Lapsus$ Hunters 공격 방식
| 단계 | 기술 | 설명 |
|---|---|---|
| ① Initial Access | Phishing + Credential Stuffing | 공격자는 조직 내부자나 외부 유저를 대상으로 정교한 이메일 사칭. 인증 정보 획득 후, Salesforce API 토큰을 획득. |
| ② Lateral Movement | API Abuse + Org‑Wide Access | 획득한 토큰으로 Bulk API나 Data Loader를 활용해 전체 조직의 레코드(계정, 리드, 기회 등) 추출. |
| ③ Data Exfiltration | Chunked Downloads + Cloud Storage | 대용량 데이터(10억 건)를 여러 세그먼트로 분리해 S3, Azure Blob 등 클라우드에 업로드. |
| ④ Dark Web Leak Site | Tor Hidden Service + Encrypted Web UI | 탈취한 데이터를 공개하기 위해 Tor hidden service를 구축. 39개 조직명과 샘플 데이터가 포함된 공개 페이지 제공. |
| ⑤ Ransom & Extortion | Demand Letter + Deadline | 10월 10일까지 협상을 거부하면 모든 데이터 공개하겠다는 경고를 발송. 금전적 협박(암호화폐) 요구. |
핵심 포인트
- API 중심 공격: Salesforce API 키/토큰이 탈취될 경우, 전체 데이터에 무제한 접근 가능.
- Dark Web 기반 공개: Tor hidden service를 통해 익명성을 확보하고, 피해 조직에 직접 접근을 유도.
- Ransomware‑as‑a‑Service: 데이터 유출과 공개 위협을 결합한 비트코인/USDT 기반 협상.
3️⃣ 잠재적 공격 벡터 & 위험 요소
| 벡터 | 위험 | 대응 |
|---|---|---|
| Phishing | 이메일 스팸 → Credential Stuffing | MFA 적용, Spear‑phishing 훈련 |
| Social Engineering | 내부자 협력, 사칭 | Security Awareness 프로그램 강화 |
| API Key Leakage | 내부 툴 또는 3rd‑party 앱 유출 | API Key Rotation, IP Whitelisting |
| Data Export & Backup | 백업 파일이 외부에 저장될 경우 | Backup Encryption, S3 Object Lock |
| Dark Web Exposure | 해커가 데이터 공개 | Data Leakage Prevention (DLP), Cloud Monitoring |
4️⃣ ️ Salesforce 보안 강화 베스트 프랙티스
- MFA 활성화
Setup > Security Controls > Multi‑Factor Authentication에서 모든 사용자에 대해 MFA를 필수화.- TOTP, YubiKey, Duo 등 인증 수단 통합.
- 권한 최소화
Permission Sets를 활용해 역할별 최소 권한 부여.Profile기반 권한 대신 세밀한Permission Set적용.
- IP 제한 & 세션 타임아웃
Login IP Ranges에 조직별 허용 IP 범위 지정.Session Settings에서Session Timeout을 15분 이하로 설정.
- API 토큰 관리
Connected Apps에 대한OAuth Policies설정:Token Expiration60일 이하,Refresh Token비활성화.IP Whitelisting+SAML Assertion을 통한Single Sign‑On.
- 정기 보안 검사
Security Health Check로 기본 보안 상태 점검.Event Monitoring로그를 정기적으로 검토해 비정상적 액세스 탐지.
- 데이터 암호화
Field‑Level Encryption적용 시 민감 데이터(SSN, 금융정보) 보안 강화.Shield Platform Encryption을 통해 대용량 데이터 암호화.
- 위협 인텔리전스 연동
- Salesforce AppExchange에서
Threat Intelligence솔루션(예: CrowdStrike, Symantec) 연동. - IP Reputation을 기반으로 외부 접속 차단.
- Salesforce AppExchange에서
- 보안 교육 및 훈련
- 정기적인
Phishing Simulation과Security Awareness프로그램 운영. - Zero Trust 사고 방식을 조직 전반에 교육.
- 정기적인
5️⃣ 사고 대응 프로세스 (SOC 관점)
| 단계 | 활동 | 툴/리소스 |
|---|---|---|
| Detection | Salesforce Event Monitoring, SIEM(Elastic SIEM, Splunk) | Log Parser, Anomaly Detection |
| Analysis | API 호출 패턴 분석, IP 및 사용자 행동 분석 | APIMetrics, Threat Hunting |
| Containment | 해당 조직의 Connected App 비활성화, IP 차단 |
Bulk Revoke, IP Block |
| Eradication | 악성 파일 제거, 재인증 | Endpoint Protection, Identity Cleanup |
| Recovery | 권한 재배치, 데이터 복구, 백업 확인 | Backup Restore, Audit Trail |
| Lessons Learned | 사고 리포트 작성, 보안 정책 업데이트 | Post‑Mortem 문서, Red Team 리뷰 |
6️⃣ 비즈니스 영향 & 회복 전략
| 항목 | 잠재적 영향 | 회복 방안 |
|---|---|---|
| 데이터 유출 | 고객 신뢰 하락, 브랜드 이미지 손상 | GDPR, CCPA 알림, 고객 보호 프로그램 |
| 금전 협박 | 비상 사태 자금 유출 가능 | 법적 대응, 암호화폐 지갑 차단, 협상팀 구성 |
| 운영 중단 | 매출 손실, 서비스 가용성 감소 | Business Continuity Plan (BCP), Disaster Recovery (DR) |
| 법적 리스크 | 벌금, 소송 | Compliance Audit, Regulatory Liaison |
7️⃣ 다크웹 유출 사이트 탐지 및 대응
- Tor Hidden Service 스캔
- OnionScan, Kali Linux의
torsensor를 활용해 hidden service URL 수집.
- OnionScan, Kali Linux의
- 데이터 프리뷰
- 공개된 CSV/JSON 파일을 스캔해 PII 및 CVE 식별.
- 인증된 접근 차단
- Proxy와 VPN 연결을 차단하고, 내부 IP만 허용.
- 공개 사이트 삭제 요청
- Tor 네트워크 관리자(예: Tor Project)와 협업해 hidden service 제거.
- 커뮤니케이션
- 고객 및 내부 팀에 정기적인 업데이트 제공.
- Incident Response Playbook을 기반으로 빠른 대응.
8️⃣ Salesforce와 협력할 때 주의할 점
- 공식 채널 사용: Salesforce 지원 포털(Support Portal)과 Case Management를 통해 공식적인 커뮤니케이션 유지.
- 증거 보존: 로그, 메일, API 요청 기록 등 모든 증거를 디지털 포렌식(FTK, EnCase)로 보존.
- 데이터 소유권 명확화: 유출된 데이터의 소유권(고객 vs. Salesforce)을 명확히 해 두어 법적 분쟁을 예방.
마무리
Scattered Lapsus$ Hunters는 API 기반 데이터 수집과 다크웹 유출을 결합한 새로운 위협 모델을 선보였습니다. Salesforce는 다층 보안과 강력한 IAM을 바탕으로 플랫폼 침해를 방지하고 있지만, 내부자·외부자의 권한 남용 가능성은 여전히 존재합니다.
IT 보안 팀은 MFA, 최소 권한, API 토큰 관리, 그리고 정기 보안 감사를 통해 위험을 최소화해야 하며, 사고가 발생했을 때는 사고 대응 프로세스와 법적/규제 대응를 신속히 실행해야 합니다.
이와 같은 종합적인 방어 전략은 조직이 데이터 유출과 금전 협박 같은 새로운 유형의 사이버 공격에 대해 탄탄한 대비를 갖추도록 돕습니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=201207
728x90
반응형
'보안이슈' 카테고리의 다른 글
| [보안뉴스]日 법원, 잇단 ‘親특허’ 판결 주목...글로벌 IP수익화 기대 (0) | 2025.10.08 |
|---|---|
| [보안뉴스][긴급] ‘오라클 EBS’ 사용 기업 보안 경고등! 취약점 악용해 클롭 랜섬웨어 조직 실제 공격중 (0) | 2025.10.07 |
| [데일리시큐]링크드인, 100만 가짜 계정으로 데이터 긁은 프로API 고소…AI 시대 ‘데이터 주권’ 공방 본격화 (0) | 2025.10.07 |
| [데일리시큐]’제로데이 클라우드‘, 런던서 첫 개최…오픈소스 클라우드·AI 해킹으로 450만달러(62억) 상금 걸고 열린다 (0) | 2025.10.07 |
| [보안뉴스][미리보는 2025 국감-4] 송경희 위원장 앞에 산적한 개인정보보호 과제는? (0) | 2025.10.07 |