테크레시피

세일즈포스 SW 설정 오류로 개인 정보 유출 가능성 지적

세일즈포스가 제공하는 소프트웨어가 설정 오류로 인해 서버에서 고객 주소나 이름 등 개인 정보가 유출됐을 가능성이 지적됐다.

이번에 정보 유출이 지적되는 건 세일즈포스가 제공하는 클라우드 기반 소프트웨어 제품인 세일즈포스 커뮤니티다. 세일즈포스 커뮤니티를 이용하면 커뮤니티 관리자가 게스트 액세스 기능을 이용해 인증되지 않은 사용자에게도 공개 정보를 볼 수 있다.

하지만 세일즈포스 커뮤니티에선 커뮤니티 관리자가 실수로 게스트 사용자에게 내부 리소스에 대한 액세스 권한을 부여할 수 있어 권한이 없는 사용자가 조직 기밀 정보나 개인 정보에 액세스해 데이터 유출이 발생할 가능성이 지적됐다.

보안 연구자는 미국 버몬트주가 운영하는 적어도 5개 사이트에선 세일즈포스 커뮤니티를 이용하고 있으며 누구나 기밀 데이터에 액세스할 수 있다고 보고했다. 버몬트주 코로나19 유행에 따른 실업 지원 프로그램에서도 기밀 데이터에 대한 액세스가 허가되고 있으며 신청자명과 사회보장번호, 주소, 전화번호, 이메일 주소, 은행 계좌 번호 등이 빠져 있다고 밝히고 있다.

도 오하이오주에 본사를 둔 은행 지주 회사인 헌팅턴뱅크쉐어스는 세일즈포스 커뮤니티를 도입해 상업 대출을 처리하는 TCF파이낸셜을 인수했지만 TCF파이낸셜 세일즈포스 커뮤니티에선 고객명과 사회보장번호, 주소, 직위, 연방 아이디, IP 주소, 월 평균 급여, 대출 금액을 누구나 볼 수 있는 상태였다.

연구자는 버몬트주와 헌팅턴뱅크쉐어스에게 의견을 요청한 결과 양측은 정보 유출 사실을 알게 됐고 곧바로 기밀 정보에 대한 공개 접근을 막았다.

세일즈포스는 자사는 이미 인증되지 않은 게스트 사용자에게 액세스할 수 있는 데이터를 지정할 수 있는 세일즈포스 커뮤니티 설정에 대한 명확하고 강력한 도구 안내를 고객에게 제공한다고 박혔다. 한편 버몬트주 최고 정보 보안 책임자는 세일즈포스 커뮤니티의 느슨한 태세에 위기감을 느끼고 있다고 밝혔고 헌팅턴뱅크쉐어스 측 역시 세일즈포스 커뮤니티 설정 실수 경위와 기간, 유출 규모에 대해 조사 중이라고 말했다.

세일즈포스 커뮤니티 설정 실수로 인한 정보 유출이 발생한 수백 개 조직을 확인한 보안 연구자는 2023년 1월부터 2월까지 정부기관과 일부 기업에 대한 설정 실수로 인한 정보 유출이 발생했을 가능성을 전달했지만 이들 조직에선 아무런 반응이 없었다며 이런 기업과 정부기관 중 실제로 문제를 해결한 기업은 단 5개 기업 뿐이었다고 밝혔다.

세일즈포스는 자사는 고객과 긍정적 커뮤니케이션을 수행하고 고객이 사용할 수 있는 기능과 보안, 계약과 법규 의무를 수행할 수 있는 세일즈포스 인스턴스를 최적으로 보호할 방법 주지에 노력하고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

이원영 기자

컴퓨터 전문 월간지인 편집장을 지내고 가격비교쇼핑몰 다나와를 거치며 인터넷 비즈니스 기획 관련 업무를 두루 섭렵했다. 현재는 디지털 IT에 아날로그 감성을 접목해 수작업으로 마우스 패드를 제작 · 판매하는 상상공작소(www.glasspad.co.kr)를 직접 운영하고 있다. 동시에 IT와 기술의 새로운 만남을 즐기는 마음으로 칼럼니스트로도 활동 중이다.

뉴스레터 구독

Most popular