글로벌 CRM 공급망 보안에 ‘경고음’
외부 연동 앱 통한 비인가 데이터 접근 정황
세일즈포스, 토큰 전면 폐기·AppExchange에서 긴급 차단

세일즈포스(Salesforce)가 최근 Gainsight에서 제공한 연동 애플리케이션에서 비정상적인 접속 활동이 발견됐다는 사실을 공개하며, 글로벌 CRM 생태계에 다시 한 번 공급망 보안 리스크가 제기되고 있다.

세일즈포스는 11월 20일(한국시간) 공식 보안 권고(Security Advisory)를 통해 Gainsight 앱의 외부 연결을 통한 비인가 접근 가능성을 확인했고, 즉시 관련 액세스·리프레시 토큰을 전면 폐기하고 AppExchange에서 해당 앱을 임시 차단했다고 밝혔다.

이번 사안은 세일즈포스 플랫폼 자체의 취약점은 아니라는 점이 공식적으로 확인되었지만, 서드파티 애플리케이션의 외부 API 연결이 기업 내부 데이터 접근의 새로운 취약 지점이 될 수 있음을 드러냈다는 점에서 업계의 주목을 받고 있다.

세일즈포스는 문제를 감지하자마자 해당 앱의 모든 연결권한을 회수하고, 영향을 받은 고객에게 개별적으로 통보하는 한편, 공식 지원 페이지를 통해 상황을 실시간 업데이트하고 있다.

전문가들은 이번 사건을 글로벌 SaaS 생태계를 떠받치고 있는 ‘앱 경제(App Economy)’ 구조적 문제로 보고 있다. CRM·마케팅·고객경험(CX) 시스템은 수십 개의 서드파티 앱과 API가 얽혀 운영되는데, 플랫폼이 아무리 안전해도 외부에서 연결되는 연결 고리가 취약할 경우 전체 시스템이 흔들릴 수 있기 때문이다.

Gainsight는 고객경험(CX) SaaS 분야의 대표 기업으로 전 세계 수천여 기업이 활용하고 있는데, 이들 앱이 접근하는 데이터는 계약 정보, 고객 식별 정보, 상담 기록 등 민감한 내용이 포함될 수 있다.

경제적 영향도 작지 않다. 세계 CRM 시장은 2025년 약 1,020억 달러 규모로 추산되며, 많은 기업이 세일즈포스를 중심으로 마케팅·자동화·분석·영업관리 시스템을 구축하고 있다. 이번과 같은 연동 앱 보안 이슈는 단순한 기능 중단을 넘어 비즈니스 운영 전반에 영향을 줄 수 있다.

특히 한국을 포함한 글로벌 대기업과 공공기관이 세일즈포스를 광범위하게 사용하고 있는 만큼, 연결된 앱의 보안 점검 필요성이 급격히 높아질 것으로 보인다.

사회적 관점에서도 우려는 커지고 있다. CRM에 저장되는 데이터는 고객의 행동 이력, 상담 기록, 식별 정보 등 민감도가 높기 때문에, 외부 연동을 통한 비인가 접근 가능성만으로도 기업과 소비자 간 신뢰에 타격을 줄 수 있다. GDPR·CCPA 등 글로벌 규제 환경에서도 SaaS 공급망 공격은 중요한 개인정보 리스크로 간주되고 있어, 향후 규제 강화 가능성도 제기된다.

전문가들은 오래전 SolarWinds(2020), Okta(2023~2024), Microsoft Exchange 공급망 사고에서 이미 패턴이 반복되어 왔으며, 이번 세일즈포스–Gainsight 사건도 그 연장선에 있다고 분석한다. 신뢰된 공급자가 제공하는 애플리케이션이라도 업데이트 과정, 외부 서버 운영, 인증 토큰 관리 등의 취약점이 발생하면 곧바로 수많은 기업이 연쇄적으로 위험에 노출될 수 있기 때문이다.

향후 전망과 관련해, 업계에서는 세일즈포스가 AppExchange 보안 검증 기준을 더욱 강화하고, 장기 토큰 대신 단기 토큰 중심 정책을 확대하며, 앱 행동 기반의 이상 탐지 기능을 한층 강화할 것이라는 관측이 나온다. 다만 이러한 조치들은 아직 공식적으로 확인된 바는 없다. 기업 고객 또한 연동된 SaaS 구성요소, API 접근권한, 토큰 발급현황 등을 전면적으로 재점검해야 한다는 목소리가 커지고 있다.

결국 이번 사건은 단순한 외부 앱의 문제로 끝나지 않는다.

“보안은 가장 약한 고리를 따라간다”는 원칙이 다시 확인된 셈이다.

세일즈포스 플랫폼은 안전했지만, 외부 연동 앱이라는 단 하나의 고리가 흔들린 순간 글로벌 기업들의 데이터 신뢰성도 함께 흔들릴 수 있다는 사실이 드러났다. SaaS·클라우드 기반 업무환경이 확장될수록, 플랫폼과 고객, 그리고 서드파티 개발사 모두가 공급망 전체를 하나의 보안 단위로 바라봐야 한다는 교훈을 남긴 사건이다.

[ⓒ META-X. 무단전재-재배포 금지]