Grubhub 데이터 유출 - Salesloft Drift 공급망 공격의 연쇄 효과 (2026년 1월) #

1. 사건 개요 #

기본 정보 #

공개 시기: 2026년 1월 15일
실제 침해 시기: 명확히 공개되지 않음 (2025년 8월 이후로 추정)
피해 조직: Grubhub (미국 음식 배달 플랫폼)
공격 그룹: ShinyHunters (데이터 탈취 전문 사이버범죄 그룹)
사건 유형: 공급망 공격을 통한 다중 침해 (Salesforce → Zendesk)

피해 규모 #

영향 받은 사용자 수: 명확히 공개되지 않음 (수천만 명 추정)
침해된 시스템: Salesforce (2025년 2월), Zendesk (2025년 후반)
데이터 유형: 고객 지원 관련 정보, 내부 시스템 데이터

조직 배경 #

본사: 미국 시카고
서비스: 음식 주문 및 배달 플랫폼
사용자 규모: 연간 수천만 명의 미국인 서비스
활성 배달 기사: 수만 명

2. 원인 분석 #

기술적 원인 #

공급망 공격의 다층 구조 #

1단계: Salesloft Drift 침해 (2025년 8월)

공격 기간: 2025년 8월 8일 ~ 8월 18일
공격 대상: Salesloft의 Salesforce 통합 OAuth 토큰
공격 방식: 도난된 OAuth 토큰을 사용한 사전 인증된 접근
영향 범위: 최소 760개 조직 (31개 공개 확인, 실제는 훨씬 많을 것으로 추정)

2단계: Salesforce 데이터 탈취 (2025년 2월)

Grubhub의 Salesforce 환경 침해
OAuth 토큰을 통한 정당한 접근으로 위장
고객 관계 관리 (CRM) 데이터 탈취

3단계: 자격증명 수집 및 측면 이동

Salesforce에서 다음 정보 탈취:
- 추가 자격증명 (credentials)
- 클라우드 서비스 접근 키
- 데이터 분석 플랫폼 토큰
- Zendesk 접근 정보

4단계: Zendesk 침해 (2025년 후반)

도난된 자격증명을 사용하여 Zendesk 시스템 접근
Grubhub의 고객 지원 채팅 시스템 침해
주문, 계정 문제, 청구 관련 데이터 탈취

기술적 방어 실패 지점 #

접근 토큰 관리 실패

OAuth 토큰의 장기 유효 기간 설정
Salesloft Drift 침해 후 영향 받은 토큰 회전 지연 또는 미실시
토큰 사용에 대한 지속적인 모니터링 부재

측면 이동 탐지 실패

Salesforce에서 Zendesk로의 비정상적인 접근 패턴 미탐지
서로 다른 SaaS 플랫폼 간의 연관성 분석 부족
통합된 보안 모니터링 체계 부재

자격증명 보안 부족

Salesforce 내에 저장된 다른 시스템의 자격증명이 평문 또는 약한 암호화 상태
시스템 간 자격증명 분리 원칙 미준수
Secrets 관리 솔루션 미적용

시간 지연 탐지

2025년 8월 Salesloft 침해 발생
2026년 1월까지도 지속적인 공격 발견
약 5개월 이상의 지속적인 접근 허용

관리적 원인 #

공급망 보안 거버넌스 부족 #

제3자 리스크 관리 미흡:
- Salesloft/Drift와 같은 통합 도구의 보안 평가 부족
- OAuth 통합 승인 프로세스의 허술함
- 제3자 침해 시 영향 평가 및 대응 계획 부재
통합 관리 부실:
- Salesforce와 연결된 모든 애플리케이션 및 통합 목록 미파악
- 각 통합의 권한 범위 및 접근 수준 검토 부족
- 불필요한 통합 제거 프로세스 부재

SaaS 보안 관리 체계 부족 #

SaaS 가시성 부족:
- 조직 내에서 사용 중인 모든 SaaS 애플리케이션 파악 미흡
- 섀도우 IT (승인되지 않은 SaaS 사용) 통제 부족
- SaaS 간 데이터 흐름 및 통합 관계 미파악
SaaS 보안 태세 관리 (SSPM) 미적용:
- Salesforce, Zendesk 등의 보안 설정 지속적 모니터링 부재
- 보안 모범 사례 대비 편차 탐지 부족
- 잘못된 설정 자동 수정 메커니즘 부재

사고 대응 지연 #

Salesloft Drift 침해가 2025년 8월에 발생했으나, 영향 받은 조직들의 대응이 지연됨
FBI가 2025년 9월 Salesforce 관련 경고를 발표했으나 충분한 조치 미실시
침해 사실 공개까지 상당한 시간 소요

인적 원인 #

보안 인식 부족 #

OAuth 토큰의 위험성에 대한 이해 부족
제3자 통합 승인 시 보안 검토 생략
Salesloft 침해 공지 후에도 자사 환경 점검 미실시

조직 간 협력 부족 #

Salesforce 관리 팀과 Zendesk 관리 팀 간 정보 공유 부족
보안 팀과 IT 운영 팀 간 협력 체계 미흡
통합 관리에 대한 명확한 책임 소재 부재

3. 영향 분석 #

데이터 보호 영향 #

두 차례 침해의 중첩 #

Salesforce 침해 (2025년 2월):
- CRM 데이터: 고객 정보, 거래 내역, 상호작용 기록
- 내부 비즈니스 데이터: 전략 문서, 파트너 정보
Zendesk 침해 (2025년 후반):
- 고객 지원 티켓: 문제 내용, 계정 세부사항
- 계정 메모: 내부 직원이 작성한 고객 관련 메모
- 청구 및 주문 문의 내용
중첩 데이터:
- 같은 고객에 대한 정보가 두 시스템 모두에서 유출
- 더욱 완전한 프로파일 구성 가능

공식 입장과의 불일치 #

Grubhub 공식 발표: “민감한 정보, 재무 정보, 주문 내역은 영향 받지 않음”
실제 상황: Zendesk에는 청구 문의, 계정 접근, 주문 문제 관련 정보 포함 가능
이러한 불일치는 사용자 혼란 및 신뢰 저하 유발

갈취 및 협박 #

ShinyHunters의 요구 #

Bitcoin 지불 요구
미지불 시 다크웹에 데이터 공개 위협
두 차례 침해 데이터를 모두 레버리지로 사용

Grubhub의 대응 #

제3자 사이버보안 업체 고용
법 집행 기관에 신고
갈취금 지불 여부는 공개하지 않음

운영 영향 #

사고 조사 및 복구를 위한 IT 리소스 집중
고객 문의 대응을 위한 추가 인력 배치
시스템 보안 강화 작업
평판 관리 및 PR 활동

법적 및 규제 영향 #

데이터 유출 통지 의무 #

영향 받은 사용자 범위 및 수 미공개
구체적인 통지 계획 미발표
일부 주에서는 통지 의무 위반 시 벌금 부과 가능

잠재적 소송 #

집단 소송 가능성
부적절한 데이터 보호 주장
적시 통지 실패 주장

산업 전반 영향 #

Salesloft Drift 침해의 파급효과 #

확인된 피해 조직 (일부):

Dynatrace
Cloudflare
Palo Alto Networks
Grubhub
기타 760개 이상 조직 추정

업계 교훈 #

SaaS 통합의 보안 위험성 인식 증가
OAuth 토큰 관리의 중요성 부각
제3자 리스크 관리 필요성 강조

4. ShinyHunters 그룹 분석 #

그룹 특성 #

활동 시작: 2020년경
전문 분야: 대규모 데이터 탈취 및 판매
운영 방식: 암호화 없는 순수 데이터 갈취
동기: 금전적 이익

주요 공격 이력 #

2025년 주요 활동 #

Salesloft Drift 캠페인: 760개 이상 조직 침해
대규모 데이터 유출 위협: 39개 기업에서 10억 건 이상의 레코드 탈취 주장
다른 사이버범죄 그룹과 협력

과거 주요 사건 #

Microsoft GitHub private repositories 침해 주장
다수의 기업 및 플랫폼 데이터베이스 판매
다크웹 포럼에서 활발한 활동

공격 방식의 특징 #

공급망 공격 선호 #

널리 사용되는 SaaS 플랫폼의 취약점 또는 통합 악용
한 번의 침해로 다수의 하위 고객 공격 가능
효율성과 확장성 극대화

순수 데이터 갈취 #

랜섬웨어 그룹과 달리 암호화 단계 생략
데이터 탈취 및 공개 위협만으로 갈취
피해 조직의 운영 중단 최소화로 협상 가능성 증가

비즈니스 모델 #

데이터 판매: 다크웹에서 데이터베이스 판매
갈취: 피해 조직에 직접 연락하여 Bitcoin 요구
명성 구축: 성공적인 침해를 공개하여 평판 향상

5. 예방 및 대응 방안 #

기술적 대응 #

OAuth 토큰 및 자격증명 관리 #

토큰 수명 주기 관리:
- 단기 유효 기간 설정 (예: 1시간, 24시간)
- 정기적인 토큰 회전 (rotation)
- 사용하지 않는 토큰 자동 무효화
Secrets 관리 솔루션 도입:
- HashiCorp Vault, AWS Secrets Manager, Azure Key Vault 등
- 자격증명의 중앙 집중식 관리
- 접근 로깅 및 감사
최소 권한 원칙:
- OAuth 통합 시 필요한 최소한의 권한만 부여
- 정기적인 권한 검토 및 축소

SaaS 보안 강화 #

SaaS 보안 태세 관리 (SSPM):
- Salesforce, Zendesk 등의 보안 설정 지속 모니터링
- 잘못된 설정 자동 탐지 및 알림
- 보안 모범 사례 대비 벤치마킹
통합 인벤토리 및 모니터링:
- 모든 SaaS 통합 목록 작성 및 유지
- 각 통합의 권한 및 데이터 접근 범위 문서화
- 불필요한 통합 제거
CASB (Cloud Access Security Broker):
- SaaS 애플리케이션 접근 통제
- 데이터 유출 방지
- 섀도우 IT 탐지

측면 이동 탐지 #

UEBA (User and Entity Behavior Analytics):
- 비정상적인 접근 패턴 탐지
- 시스템 간 이동 모니터링
- 자격증명 도용 탐지
통합 로그 분석:
- SIEM을 통한 Salesforce, Zendesk 등 로그 통합
- 연관 이벤트 분석
- 자동화된 경보 생성

공급망 침해 대응 #

침해 지표 (IOC) 즉시 적용:
- Salesloft Drift 침해 IOC를 자사 환경에서 검색
- CISA, FBI 등의 권고사항 즉시 적용
영향 평가 자동화:
- 제3자 침해 발생 시 자동으로 자사 환경 점검
- 영향 받은 통합 및 시스템 식별
- 우선순위에 따른 대응

관리적 대응 #

제3자 리스크 관리 강화 #

공급업체 보안 평가:
- Salesloft, Drift 등 통합 도구 선정 시 보안 평가
- SOC 2, ISO 27001 등 인증 확인
- 정기적인 재평가
계약서 조항:
- 침해 발생 시 즉시 통지 의무
- 침해 시 책임 및 손해배상 조항
- 정기적인 보안 감사 권한

SaaS 거버넌스 #

SaaS 승인 프로세스:
- 새로운 SaaS 도입 시 보안 검토 필수
- IT 및 보안 팀 승인 필요
- 섀도우 IT 금지 정책
정기적인 통합 검토:
- 분기별 또는 반기별 모든 통합 검토
- 더 이상 사용하지 않는 통합 제거
- 과도한 권한 축소

사고 대응 계획 #

공급망 침해 시나리오 포함:
- Salesloft와 같은 제3자 침해 발생 시 대응 절차
- 영향 평가 체크리스트
- 통지 및 커뮤니케이션 계획
신속한 대응 체계:
- 24/7 보안 운영 센터 (SOC)
- 자동화된 경보 및 에스컬레이션
- 사전 정의된 대응 플레이북

인적 대응 #

보안 인식 교육 #

OAuth 및 통합 보안 교육:
- 개발자 및 IT 관리자 대상
- OAuth 토큰의 위험성 및 관리 방법
- 안전한 통합 구현 원칙
제3자 리스크 인식:
- 모든 직원 대상
- 공급망 공격 사례 및 영향
- 의심스러운 활동 보고 절차

역할 및 책임 명확화 #

SaaS 통합 관리 책임자 지정
제3자 리스크 관리 전담 팀
크로스 팀 협력 체계 (Salesforce 팀, Zendesk 팀, 보안 팀)

법적 및 커뮤니케이션 대응 #

투명한 커뮤니케이션 #

영향 받은 사용자에게 명확하고 구체적인 정보 제공
취해진 조치 및 향후 계획 공유
지속적인 업데이트

법적 준비 #

데이터 유출 통지 법규 준수
집단 소송 대비
사이버 보험 청구 검토

6. 컨설팅 관점 #

고객사 커뮤니케이션 전략 #

비기술 직원 대상 #

Grubhub에서 발생한 사건은 직접적인 해킹이라기보다는 연쇄 반응에 가깝습니다.

먼저 Salesloft라는 회사가 해킹당했고, 이 회사는 많은 기업이 Salesforce와 연결하는 데 사용하는 도구를 제공합니다. 해커들은 Salesloft를 통해 Grubhub의 Salesforce 계정에 접근할 수 있는 열쇠를 얻었습니다.

그 다음, Salesforce에서 Zendesk라는 고객 지원 시스템에 접근할 수 있는 또 다른 열쇠를 찾아냈습니다. 결국 해커들은 한 번의 침입으로 두 개의 중요한 시스템에 모두 접근할 수 있었습니다.

이는 집의 현관문 열쇠를 도난당했는데, 그 집 안에 차 열쇠와 금고 열쇠가 보관되어 있어서 모두 털리게 된 것과 비슷합니다.

기술팀 대상 #

이 사건은 SaaS 공급망 공격의 전형적인 사례입니다. 공격 체인은 다음과 같습니다:

초기 침투: Salesloft Drift의 Salesforce OAuth 통합 토큰 탈취 (2025년 8월)
1차 측면 이동: 도난된 OAuth 토큰으로 Grubhub의 Salesforce 환경 접근 (2025년 2월)
자격증명 수집: Salesforce 내에 저장된 Zendesk 접근 자격증명 탈취
2차 측면 이동: Zendesk 시스템 침투 및 고객 지원 데이터 탈취

기술적 방어 실패 지점:

OAuth 토큰의 장기 유효 기간 및 회전 부재
Salesloft 침해 후 영향 받은 토큰 즉시 무효화 실패
Secrets 관리 솔루션 미적용으로 Salesforce 내 평문 자격증명 노출
측면 이동 탐지 메커니즘 부재 (UEBA, 통합 로그 분석)

AppOmni CSO Cory Michal의 지적대로, 공격자는 한 번의 침해로 얻은 OAuth 토큰 캐시를 통해 시간을 두고 선택적으로 고가치 조직을 공격할 수 있습니다. 재침입 없이 사전 인증된 접근을 유지하는 것이 핵심입니다.

경영진 대상 #

이 사건은 디지털 공급망의 복잡성과 위험성을 보여줍니다. Grubhub는 직접 해킹당한 것이 아니라, 신뢰했던 제3자 (Salesloft)를 통해 침해되었습니다.

더욱 우려되는 점은 같은 방법으로 최소 760개 조직이 영향을 받았다는 것입니다. Cloudflare, Palo Alto Networks와 같은 보안 회사들조차 피해를 입었습니다.

재무적 영향은 다층적입니다:

사고 대응 및 포렌식 비용
잠재적 갈취금 (ShinyHunters의 Bitcoin 요구)
법적 소송 및 규제 벌금
평판 손상으로 인한 고객 이탈
보안 강화 투자

Salesforce와 Zendesk는 현대 비즈니스의 핵심 인프라입니다. 이러한 시스템의 침해는 고객 데이터뿐만 아니라 내부 비즈니스 프로세스 전체를 위협합니다.

SaaS 보안은 더 이상 IT 부서만의 문제가 아니며, 전사적인 리스크 관리 차원에서 접근해야 합니다.

예상 질문 및 답변 #

Q1: 내 주문 정보나 신용카드 정보가 유출되었나요? A: Grubhub는 재무 정보와 주문 내역은 영향 받지 않았다고 발표했습니다. 하지만 Zendesk에는 청구 문의나 주문 문제 관련 정보가 포함될 수 있어, 정확한 범위는 불명확합니다.

Q2: 왜 Grubhub가 직접 해킹당한 것이 아닌가요? A: Grubhub가 사용하는 Salesloft라는 제3자 도구가 먼저 침해되었고, 해커들은 그곳에서 Grubhub 시스템에 접근할 수 있는 열쇠를 얻었습니다. 이를 공급망 공격이라고 합니다.

Q3: 얼마나 많은 회사가 영향을 받았나요? A: Salesloft Drift 침해로 최소 760개 조직이 영향을 받은 것으로 추정되며, 31개 조직이 공개적으로 확인되었습니다.

Q4: Grubhub는 왜 구체적인 정보를 공개하지 않나요? A: 일반적으로 기업들은 조사가 진행 중일 때, 법적 이유로, 또는 협상 중일 때 세부사항을 제한적으로 공개합니다. 하지만 투명성 부족은 사용자 신뢰를 저해할 수 있습니다.

Q5: 사용자는 어떻게 대응해야 하나요? A:

Grubhub 계정 비밀번호 변경 (다른 곳에서 재사용하지 말 것)
비밀번호 관리자 사용 권장
계정 활동 모니터링
의심스러운 이메일이나 피싱 시도 주의
다단계 인증 (MFA) 활성화 (가능한 경우)

Q6: 이런 공격을 어떻게 예방할 수 있나요? A: 조직 차원에서는 OAuth 토큰 관리 강화, SaaS 보안 태세 관리, 제3자 리스크 평가, 측면 이동 탐지 시스템 구축 등이 필요합니다.

권고사항 요약 #

즉시 조치 (긴급) #

Salesloft Drift 침해 IOC를 자사 환경에서 검색
Salesforce 및 Zendesk 접근 로그 검토 (2025년 8월 이후)
의심스러운 OAuth 토큰 즉시 무효화
Salesforce 내 저장된 자격증명 검토 및 회전
영향 받은 고객 파악 및 통지 준비

단기 조치 (1-3개월) #

모든 OAuth 토큰 회전 및 단기 유효 기간 설정
Secrets 관리 솔루션 도입
SSPM 도구 배포 (Salesforce, Zendesk 등)
통합 인벤토리 작성 및 불필요한 통합 제거
SIEM 통합 및 경보 규칙 구성

중장기 조치 (3-12개월) #

CASB 솔루션 도입
UEBA 시스템 구축
SaaS 거버넌스 프레임워크 수립
제3자 리스크 관리 프로그램 강화
정기적인 보안 인식 교육

7. 학습 내용 및 인사이트 #

핵심 학습 사항 #

공급망 공격의 연쇄 효과
- 한 곳의 침해가 수백 개 조직에 영향을 미칠 수 있습니다.
- Salesloft → Salesforce → Zendesk로 이어지는 다층 공격 체인은 현대 IT 환경의 상호 연결성을 악용합니다.
- 직접적인 방어만으로는 부족하며, 신뢰하는 제3자의 보안도 검증해야 합니다.
OAuth 토큰의 치명적 위험성
- OAuth 토큰은 비밀번호만큼, 어쩌면 그 이상으로 중요합니다.
- 장기간 유효한 토큰은 공격자에게 지속적인 접근 권한을 부여합니다.
- AppOmni CSO의 지적처럼, 한 번 탈취된 토큰 캐시로 공격자는 재침입 없이 선택적으로 조직을 공격할 수 있습니다.
측면 이동의 위험성
- 공격자는 한 시스템 (Salesforce)에서 다른 시스템 (Zendesk)으로 이동했습니다.
- Salesforce 내에 저장된 자격증명이 이러한 이동을 가능하게 했습니다.
- 시스템 간 자격증명 분리 및 Secrets 관리가 필수적입니다.
SaaS 보안의 복잡성
- 전통적인 온프레미스 보안 모델은 SaaS 환경에 적합하지 않습니다.
- 각 SaaS 애플리케이션은 자체적인 보안 설정, 통합, 권한 체계를 가지고 있습니다.
- SSPM, CASB와 같은 SaaS 특화 보안 도구가 필요합니다.
장기 잠복의 위험성
- 2025년 8월 Salesloft 침해부터 2026년 1월 Grubhub 공개까지 약 5개월의 시간차가 있었습니다.
- 이는 공격자들이 서두르지 않고 고가치 타겟을 선별하여 공격한다는 것을 의미합니다.
- 과거 침해의 잔여 효과가 오랜 시간 동안 지속될 수 있습니다.
갈취 모델의 진화
- ShinyHunters는 암호화를 하지 않고 순수하게 데이터 탈취 및 공개 위협만으로 갈취합니다.
- 이는 피해 조직의 운영 중단을 최소화하면서도 효과적인 압박을 가합니다.
- 데이터 보호는 단순히 백업만의 문제가 아닙니다.

추가 학습 필요 영역 #

Salesloft Drift 침해의 기술적 세부사항 및 IOC
OAuth 2.0 보안 모범 사례 및 토큰 관리 전략
SaaS 보안 태세 관리 (SSPM) 도구 비교 및 선정
CASB 솔루션의 기능 및 효과성
ShinyHunters 그룹의 TTP 및 과거 공격 패턴
Salesforce 및 Zendesk 보안 강화 가이드
제3자 리스크 관리 프레임워크 (NIST, ISO 등)

보안 담당자를 위한 실무 적용 포인트 #

즉시 자사 환경 점검:
- Salesloft, Drift 사용 여부 확인
- Salesforce 통합 목록 검토
- 2025년 8월 이후 의심스러운 활동 검색
OAuth 토큰 관리 강화:
- 모든 활성 OAuth 토큰 목록 작성
- 유효 기간 단축 (가능한 경우)
- 정기적인 회전 일정 수립
- 사용하지 않는 토큰 무효화
Secrets 관리 솔루션 도입:
- Salesforce 등 SaaS 내에 평문 자격증명 저장 금지
- 중앙 집중식 Secrets 관리
- 접근 로깅 및 감사
SaaS 가시성 확보:
- 조직 내 모든 SaaS 애플리케이션 목록 작성
- 각 SaaS 간 통합 관계 매핑
- 섀도우 IT 탐지 및 통제
측면 이동 탐지:
- SIEM 통합으로 여러 SaaS의 로그 통합 분석
- UEBA로 비정상적인 접근 패턴 탐지
- 시스템 간 이동 경로 모니터링
제3자 리스크 관리:
- 모든 SaaS 공급업체 보안 평가
- 침해 발생 시 즉시 통지 요구
- 정기적인 재평가
사고 대응 훈련:
- 공급망 침해 시나리오 포함
- 신속한 영향 평가 절차
- 크로스 팀 협력 연습

이번 Grubhub 사건은 현대 IT 환경의 상호 연결성이 가져오는 위험을 명확히 보여줍니다. 한 곳의 약한 고리가 전체 체인을 위협할 수 있으며, 보안은 자사 시스템뿐만 아니라 신뢰하는 모든 제3자까지 확장되어야 합니다.