ServiceNow, 고객 데이터 노출 보안 사고 공개
ServiceNow는 공격자가 취약한 API 엔드포인트를 통해 인증되지 않은 접근 결함을 악용해 고객 인스턴스의 데이터를 조회할 수 있게 된 보안 사고에 대해 경고하고 있습니다.
회사는 “이상 징후”를 감지한 뒤 영향을 받은 고객에게 지원 게시판과 직접 지원 사례를 통해 조용히 경고했습니다.
지원 게시판은 ServiceNow 고객 지원 로그인 포털 뒤에 숨겨져 있으며, 2026년 6월 5일에 호스팅된 고객 인스턴스에 보안 업데이트를 적용했다고 명시하고 있습니다.
지원 게시판에 따르면 “2026년 6월 5일, ServiceNow는 호스팅된 고객 인스턴스에 보안 업데이트를 적용했습니다.”라고 적혀 있습니다.
“이번 업데이트는 인증되지 않은 사용자가 특정 상황에서 ServiceNow 인스턴스에 의도된 것보다 더 높은 접근 권한을 얻을 수 있는 보안 문제와 관련이 있습니다.”
회사는 이번 보안 업데이트가 API 엔드포인트 구성을 변경해 인증된 사용자만 접근할 수 있도록 제한한다고 밝혔습니다.
ServiceNow는 또한 공격자가 이 결함을 악용해 고객 인스턴스 테이블을 성공적으로 조회했음을 확인했습니다.
ServiceNow가 공격 중에 어떤 데이터가 접근됐는지는 공개하지 않았지만, 인스턴스에는 일반적으로 IT 지원 티켓, 직원 기록, 내부 문서, 자산 목록, 보안 사고 보고서, 워크플로 데이터, 기업 시스템 및 서비스 구성 세부 정보 등 민감한 기업 정보가 저장됩니다.
지원 사례 정보는 티켓에 자격 증명, API 토큰, 내부 문서, 문제 해결 과정에서 공유된 인증 비밀 등이 포함될 수 있어 위협 행위자들의 점점 더 인기 있는 표적이 되고 있습니다(관련 기사).
자문에 따르면 ServiceNow는 현재 영향을 받은 고객과 지원 사례를 개설했습니다. 고객이 아직 사례를 받지 못했다면 해당 사고의 영향을 받지 않은 것으로 판단됩니다.
ServiceNow는 결함에 대한 기술적 세부 정보를 공개하지 않았지만, Reddit에서 사고를 논의하는 관리자들은 문제가 ‘/api/now/related_list_edit/create’ REST 엔드포인트와 연관돼 있다고 전했습니다.
한 댓글 작성자는 해당 엔드포인트가 ‘requires_authentication=false’ 로 설정돼 있어 인증되지 않은 요청이 인스턴스 데이터를 조회할 수 있었다고 주장했으며, 금요일에 배포된 보안 업데이트가 requires_authentication 을 true 로 변경했다고 합니다.
다수의 관리자는 IP 주소 ‘51.159.98.241’ 로부터 온 API 요청을 포함한 침해 지표(IoC)를 공유하며, 다른 관리자들에게 취약 엔드포인트에 대한 로그를 검토할 것을 권고했습니다.
게시판에 따르면 이번 문제는 주로 Australia 플랫폼 릴리스를 사용 중이거나, 이전 릴리스에서 특정 구성 변경을 수행한 고객에게 영향을 미칩니다.
“보안 문제는 Australia 플랫폼 릴리스를 사용 중이거나, Australia 이전 릴리스에서 특정 구성 변경을 수행한 고객에게 해당됩니다.”라고 ServiceNow는 경고했습니다.
BleepingComputer는 오늘 독자의 제보를 받아 사건에 대해 ServiceNow에 연락했으며, 활동이 얼마나 오래 지속됐는지, 원인이 무엇인지, 고객 데이터가 탈취됐는지 등을 물었습니다. 그러나 게시 전까지 답변을 받지 못했습니다.
ServiceNow는 이번 이슈에 대해 CVE를 발행할지 여부를 아직 평가 중이라고 밝혔습니다.
관리자는 /api/now/related_list_edit 에 대한 요청, 특히 IP 주소 51.159.98.241 로부터 온 요청을 ServiceNow 로그에서 검토할 것을 권고합니다.
영향을 받은 조직은 노출된 티켓 및 레코드에 민감 정보가 있는지 검토하고, 지원 워크플로를 통해 공유된 자격 증명이나 토큰을 교체하며, API 로깅이 활성화돼 있는지 확인해야 합니다.
보안 팀은 성공적인 공격의 54%를 기록하고 14%만 경보합니다. 나머지는 환경을 무시하고 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트해 위협이 탐지되지 않도록 방지하는지 보여줍니다.