잊힌 자격 증명 하나가 수백개 기업의 세일즈포스 데이터를 노출시키다: 2026년 6월 Klue 공급망 공격

유출된 데이터는 비즈니스 연락처, 영업 리드, 고객 지원 사례 내역, 이름, 이메일 주소, 전화번호, 가격 정보 등을 포함했다 . 이번 공격은 불과 10개월 사이에 발생한 세 번째 주요 세일즈포스 OAuth 공급망 침해 사례로, 앞서 Drift(Salesloft)와 Gainsight 공격이 있었다 .

📋 피해 기업은?

공격자는 탈취한 OAuth 토큰을 이용해 수백 개 Klue 엔터프라이즈 고객의 세일즈포스 데이터에 접근했다 . 다음은 공개적으로 피해를 확인했거나 언급된 조직들이다:

Huntress는 이번 사건을 '보안 도미노 효과' 라고 표현하며, 이후 Icarus가 Huntress 데이터를 유출 사이트에 게시했다고 밝혔다 .

🔑 공격은 어떻게 진행됐나?

공격 체인은 직관적이며 SaaS 보안의 흔한 사각지대인 방치된 자격 증명을 교묘히 파고들었다.

1. 방치된 자격 증명 발견: Klue는 배포된 적 없는 프로토타입 통합용 OAuth 자격 증명을 만들었고, 이후 폐기하지 않았다 .
2. 백엔드 접근: 6월 11일, Icarus 그룹이 이 자격 증명을 찾아내 Klue의 백엔드에 인증했다.
3. 악성 코드 배포: 공격자는 Klue의 통합 레이어에 악성 코드를 푸시하여 Klue가 보유한 모든 고객 통합용 OAuth 토큰(세일즈포스, HubSpot, Gong, SharePoint, Zoom 등)을 수집했다 .
4. 데이터 탈취: 이 토큰을 이용해 추가 자격 증명 없이 직접 세일즈포스 환경에 쿼리를 날렸다.

📊 데이터 유출, 그 규모는?

보안 업체 ReliaQuest는 공격자의 활동을 관찰하여 15분 만에 거의 1,000회의 API 쿼리를 발생시키고 6시간 이상 지속된 추출 창을 포착했다 . 전체 유출은 약 24시간 동안 진행됐다 . 공격자는 services/data/v59.0/query/*와 같은 세일즈포스 REST API 엔드포인트를 대상으로 Python 자동화 스크립트를 사용해 대량의 레코드를 추출했다 . 유출된 데이터는 CRM 및 영업 정보에 국한되었으며, 피해 조직의 내부 시스템이나 자격 증명은 포함되지 않았다 .

⚡ Klue와 세일즈포스의 대응

• Klue: 6월 12일 비정상 활동을 탐지하고 6월 13일부터 고객에게 통보하기 시작했다. 통합을 차단하고 피해 고객의 토큰 교체를 지원했다 . Klue는 공격자가 손상된 레거시 자격 증명을 사용해 OAuth 토큰을 획득하고 고객의 세일즈포스 환경에 접근했음을 확인했다 .
• 세일즈포스: 2026년 6월 17일 오후 7시 22분(BST)에 Klue Battlecards 앱 통합을 모든 피해 고객 인스턴스에서 사전 경고 없이 차단했다 . 이후 연결된 모든 Klue 고객에게 OAuth 토큰을 교체하고 API 감사 로그에서 무단 쿼리를 검토할 것을 촉구했다 .

🕵️‍💻 갈취 조직 Icarus와 'mr bean' 별칭

Icarus라고 자칭하는 신생 범죄 조직이 이번 공격의 배후를 자처했다. 이 그룹은 2026년 4월경부터 활동을 시작한 것으로 추적되며, 6월 말 자체 유출 사이트에 피해자 명단을 게시하기 시작했다 . Icarus는 'mr bean'(소문자)이라는 별칭으로 이메일을 통해 피해자에게 연락해, 탈취한 세일즈포스 데이터를 공개하지 않는 대가로 금전을 요구했다 . 6월 22일, Icarus는 Huntress 및 다른 피해자들의 데이터를 전용 데이터 유출 웹사이트에 게시하기 시작했다 . 이 그룹은 이러한 Klue-OAuth-to-Salesforce 파이프라인을 사용한 최초의 사례로 기록되며, 이전에 유사한 세일즈포스 서드파티 통합 공격을 주도했던 ShinyHunters와는 다른 양상을 보인다 . Huntress는 Icarus가 게시한 데이터가 기존에 보고된 범위와 일치하며, Huntress 관련 파일은 제한적이었다고 확인했다 .

🔍 왜 중요한가?

이번 침해는 고립된 사건이 아니다. 불과 1년 사이에 발생한 세 번째 주요 세일즈포스 OAuth 공급망 침해이며, 그 전에는 Drift(Salesloft)와 Gainsight가 공격을 받았다 . 패턴은 일관된다: 공격자는 통합 허브를 목표로 OAuth 토큰을 훔치고, 이를 사용해 신뢰할 수 있는 서드파티 앱에서 오는 쿼리라는 점을 이용해 경보를 울리지 않고 CRM 환경에 접근한다. Klue 침해는 또한 SaaS 환경에서 방치된 자격 증명의 위험성을 극명하게 보여준다. 프로토타입을 위해 생성되고 폐기되지 않은 채 남아 있던 하나의 자격 증명이 수백 개 엔터프라이즈 세일즈포스 조직의 단일 실패 지점(single point of failure)이 된 것이다 .