글로벌 자동차 제조사 Stellantis가 2025년 9월 서드파티 서비스 제공업체를 통한 공급망 공격의 피해를 입었다. 공격자들은 Stellantis에 직접 침투하는 대신, 북미 고객 서비스 운영을 지원하는 제3자 SaaS 플랫폼을 타겟으로 삼았다.

침입 경로는 Salesforce와 연동된 제3자 서비스 제공업체 플랫폼이었다. Stellantis의 고객 서비스 시스템이 이 플랫폼과 통합되어 있었고, 공격자들은 Salesloft Drift OAuth 토큰 기반의 계정 탈취를 통해 접근권을 확보했다. 이는 지난 2025년 ShinyHunters 위협 집단이 주도한 광범위한 Salesforce 데이터 유출 캠페인의 일환이었다.

탈취된 데이터는 고객 기본 정보(이름, 주소, 전화번호, 이메일 주소)로 한정된 것으로 알려졌다. 해당 플랫폼은 금융 정보나 민감한 개인정보를 저장하지 않으므로 이러한 카테고리의 데이터 노출은 없었던 것으로 파악된다. 다만 고객 개인정보 유출 자체가 추가 피싱 공격이나 사회공학적 공격의 기반이 될 수 있다는 점이 우려된다.

Kaspersky ICS CERT는 이 사건을 자동차 산업의 공급망 공격 증가 추세를 명확히 보여주는 대표적 사례로 평가했다. 현대 자동차 OEM은 수백 개의 공급업체, 서비스 제공업체, IT 파트너와 복잡하게 얽혀 있으며, 가장 취약한 연결고리를 통한 침입이 점점 더 보편화되고 있다는 의미다. ShinyHunters 그룹은 이미 760개 회사에서 15억 개 이상의 Salesforce 레코드를 탈취했으며, Stellantis는 이 광범위한 캠페인의 최신 피해자 중 하나다.

이러한 공급망 공격은 직접 공격보다 탐지가 어렵고, 피해 범위가 넓으며, 복수의 조직에 동시에 영향을 미칠 수 있다는 특성을 가지고 있다. OEM과 1차 부품사뿐 아니라 전체 협력업체 생태계의 보안 수준 향상과 제3자 서비스 제공업체에 대한 엄격한 보안 감사 강화가 필수적인 시점이다.