15억 건 Salesforce 레코드 유출 및 공급망 공격의 복합적 연쇄 발생

Context

SaaS 레이어의 설정 오류 및 오픈소스 라이브러리 취약점을 이용한 고도화된 공급망 공격 증가. 개별 기업의 보안 경계를 넘어 서드파티 벤더와 분석 툴을 통한 우회 침투 경로가 핵심 병목 지점으로 작용.

Technical Solution

• Social Engineering 및 Vishing을 통한 초기 Access 권한 확보 전략 채택
• Salesforce Experience Cloud의 Misconfiguration 취약점을 이용한 대규모 데이터 Exfiltration 수행
• LiteLLM 오픈소스 라이브러리를 통한 AI 학습 데이터 벤더(Mercor)의 데이터 파이프라인 침투
• npm 패키지 Hijacking을 통한 소프트웨어 공급망 오염 및 실행 권한 획득
• Identity System Compromise 및 Leak-site 관리를 통한 체계적인 Extortion 파이프라인 구축
• 다수의 공격 그룹(ShinyHunters, Scattered Spider, LAPSUS$) 간의 기능적 역할 분담을 통한 공격 효율 극대화

Impact

• Salesforce 기반 약 400개 조직 침투 및 15억 건의 레코드 유출
• 중국 국가 슈퍼컴퓨터 10 Petabytes 및 Lockheed Martin 375 Terabytes 데이터 유출
• Stryker 소속 20만 대의 디바이스 Wipe 처리
• SoundCloud(2,980만 명), Qantas(570만 명), Panera Bread(510만 명) 등 대규모 사용자 정보 노출

Key Takeaway

신뢰 기반의 SaaS 및 오픈소스 생태계가 최우선 공격 벡터로 전환됨에 따라, 제로 트러스트(Zero Trust) 모델의 엄격한 적용과 공급망 전체에 대한 가시성 확보가 필수적임.