사고/사건
Stellantis, Salesforce 경유 서드파티 데이터 침해 — ShinyHunters 1,800만 건 유출 주장
보도일: 2025년 9월 25일|수집일: 2026년 3월 10일
요약
Stellantis가 Salesforce 플랫폼 경유 서드파티 침해로 북미 고객 서비스 데이터가 유출되었다. ShinyHunters 그룹이 1,800만 건 이상의 Salesforce 레코드를 탈취했다고 주장했다.
본문
Stellantis는 2025년 9월 21일 북미 고객 서비스 운영을 지원하는 서드파티 서비스 제공업체 플랫폼에 대한 무단 접근을 탐지했다고 발표했다. 유출 데이터는 고객 이름, 주소, 전화번호, 이메일 주소 등 기본 정보로 한정되며 금융 데이터나 민감 식별정보는 포함되지 않았다고 밝혔다. 이번 침해는 Salesloft Drift OAuth 토큰을 악용한 ShinyHunters 그룹의 대규모 Salesforce 공격 캠페인의 일환으로, Google, Cisco, Adidas 등 760개 이상의 기업이 동시에 피해를 입은 광범위한 공급망 공격이었다.
시사점
Salesforce 같은 클라우드 CRM 플랫폼이 자동차 OEM의 고객 데이터 접점이 되면서, 서드파티 SaaS 공급망을 통한 대규모 침해 위험이 현실화되었다. OEM뿐 아니라 딜러·서비스 네트워크의 클라우드 보안 관리가 CSMS 범위에서 중요해지고 있다.