Africa

Americas

Asia

Europe

Oceania

인기 토픽

토픽

About

정책

네트워크

자세히 보기

Shweta Sharma
By
Senior Writer

세일즈포스 AI 취약점, 악성 지시 숨겨 CRM 데이터 유출 가능성 드러나

뉴스
2025.09.293분
보안취약점

세일즈포스 에이전트포스(Agentforce)는 공격자가 일상적인 고객 입력 폼에 악성 지시를 숨겨 AI를 속이고, 그 결과 민감한 CRM 데이터를 노출시킬 수 있다는 조사 결과가 나왔다.

Salesforce logo on building
Credit: Tada Images / Shutterstock

세일즈포스의 에이전트포스(Agentforce) 플랫폼에서 새롭게 공개된 치명적 취약점은 간접 프롬프트 인젝션을 통해 AI 에이전트가 민감한 CRM 데이터를 유출하도록 속일 수 있다. 이 취약점을 ‘포스드리크(ForcedLeak)’라고 명명한 노마 시큐리티(Noma Security) 연구진은 CSO에 공개 전 공유한 블로그 글에서, 공격자가 일상적인 고객 입력 폼에 악성 지시를 삽입해 이를 악용할 수 있다고 밝혔다.

세일즈포스는 제보 후 문제를 패치했지만, 노마 연구진은 이번 사건의 파급력이 단순한 버그를 넘어선다고 보고 있다.

무해한 폼이 부른 유출

노마 시큐리티(Noma Security)가 공개한 공격 경로는 겉보기보다 훨씬 단순했다. 연구진은 마케팅 캠페인에서 자주 활용되는 세일즈포스 웹투리드(Web-to-Lead) 폼 안에 악성 텍스트를 삽입해, 제출 내용을 검토하는 에이전트포스가 원래 수행하지 않아야 할 지시를 실행하도록 유도할 수 있음을 확인했다. 특히 최대 4만 2,000자를 입력할 수 있는 설명란은 겉보기에는 무해한 비즈니스 요청처럼 위장한 다단계 페이로드를 숨기기에 충분한 공간을 제공했다.

직원이 이 데이터를 열람하고 에이전트포스에 처리를 요청하면, 시스템은 정상 요청과 함께 공격자가 숨겨둔 스크립트까지 그대로 실행했다. 더 큰 문제는 세일즈포스의 콘텐츠 보안 정책에 만료된 도메인이 여전히 화이트리스트에 포함돼 있었다는 점이다. 연구진은 단 5달러로 이 도메인을 재등록해 신뢰할 수 있어 보이는 데이터 유출 채널을 만들었고, 이는 작은 관리 소홀을 심각한 보안 허점으로 악용할 수 있음을 보여줬다.

아폴로 인포메이션 시스템즈(Apollo Information Systems)의 CISO 앤디 베넷은 “간접 프롬프트 인젝션은 기본적으로 크로스사이트 스크립팅과 같다”며 “데이터베이스 대신 인라인 AI를 속여 공격을 실행하는 방식”이라고 설명했다. 그는 “이는 스크립트 공격과 사회공학적 기법이 결합된 형태로, 기법 자체는 혁신적이지만 파급력은 잠재적으로 엄청날 수 있다”고 덧붙였다.

세일즈포스(Salesforce)는 지난 2025년 9월 8일 에이전트포스에 ‘신뢰할 수 있는 URL 허용목록(Trusted URL allowlists)’을 강제 적용해 CVE 등록 대기 중인 이 취약점을 패치했다고 목요일에 밝혔다. 회사는 이번 발견에 대해 노마를 직접 언급하지는 않았지만, 관련 설명을 포함했다. 세일즈포스는 당시 “에이전트포스를 구동하는 핵심 서비스에 신뢰할 수 있는 URL 허용목록을 적용해, 잠재적 프롬프트 인젝션을 통해 악성 링크가 호출되거나 생성되지 않도록 보장할 것”이라고 전했다.

세일즈포스 대변인은 “프롬프트 인젝션을 둘러싼 보안 환경은 여전히 복잡하고 빠르게 진화하고 있다”며 “강력한 보안 통제를 위해 지속적으로 투자하고 있으며, 연구 커뮤니티와 긴밀히 협력해 이러한 문제가 발생할 때 고객을 보호할 수 있도록 하고 있다”고 말했다.

패치만으로는 부족, 가드레일이 필요

세일즈포스가 신속하게 패치를 내놓았지만, 전문가들은 AI 에이전트가 본질적으로 훨씬 더 넓은 공격면을 제공한다고 입을 모았다. 이 시스템은 메모리, 의사결정, 도구 실행 기능을 결합하기 때문에 침해가 발생하면 빠르게 확산될 수 있으며, 베넷은 이를 “기계 속도(machine speed)”라고 표현했다.

블랙덕 사이버보안 수석 솔루션 아키텍트 크리사 콘스탄틴은 “AI 에이전트가 사용하는 API, 폼, 미들웨어 등 주변 시스템을 함께 보호해야 프롬프트 인젝션이 악용되기 어렵고 성공하더라도 피해를 최소화할 수 있다”고 설명했다. 그는 진정한 예방은 단순 패치가 아니라 “에이전트 설계, 소프트웨어 공급망, 웹 애플리케이션, API 테스트 전반에서의 구성 관리와 가드레일 마련”이라고 강조했다.

노마 연구진 역시 같은 의견을 내놓으며, 기업이 AI 에이전트를 실제 운영 시스템처럼 다뤄야 한다고 촉구했다. 모든 에이전트를 목록화하고, 외부 연결을 검증하며, 모델 입력 전에 데이터를 정제하고, 민감한 데이터 접근이나 인터넷 송출을 탐지해 경고하는 체계가 필요하다고 전했다.

사이버 보안 기업 오아시스 시큐리티(Oasis Security) 연구 책임자 엘라드 루즈는 외부 입력 정제의 중요성을 지적했다. 루즈는 “문의 폼에 입력된 자유 텍스트는 신뢰할 수 없는 데이터로 다뤄야 한다”며 “입력 중재 계층(input mediation layer)을 활용해 예상되는 필드만 추출하고, 지시문·링크·마크업은 제거하거나 무력화해 모델이 사용자 콘텐츠를 명령으로 해석하지 못하도록 해야 한다(프롬프트 인젝션 대응력)”라고 말했다.
dl-ciokorea@foundryco.com

Shweta Sharma
By
Senior Writer

Shweta has been writing about enterprise technology since 2017, most recently reporting on cybersecurity for CSO online. She breaks down complex topics from ransomware to zero trust architecture for both experts and everyday readers. She has a postgraduate diploma in journalism from the Asian College of Journalism, and enjoys reading fiction, watching movies, and experimenting with new recipes when she’s not busy decoding cyber threats.

이 저자의 추가 콘텐츠

추천 콘텐츠

뉴스

NICE정보통신-NICE페이먼츠, 합병 법인 공식 출범

By 편집부
1분
산업합병 및 인수
이미지
기획

“이래야 월드 클래스 IT” 생성형 AI가 바꾸는 CIO의 미션과 전략

By Isaac Sacolick
8분
생성형 AIIT 리더십
이미지
뉴스

국정자원 화재, 해외 분석가들이 전 세계에 경각심 강조한 이유

By Gyana Swain
6분
데이터센터재해 복구
이미지