일본 언론사 닛케이가 사내 슬랙 계정이 침해돼 1만7,000명 이상 사용자 정보가 유출됐을 가능성을 공식 확인했다. 보안 전문가는 이번 사건을 기업이 관리하지 않는 개인 기기에서 내부 시스템에 접근할 때 발생할 수 있는 대표적 보안 리스크로 지적했다.

닛케이는 공식 성명을 통해 “직원의 개인용 컴퓨터가 바이러스에 감염돼 슬랙 인증 정보가 유출됐으며, 이 정보가 비인가 접근에 악용된 것으로 추정된다”라고 밝혔다. 또한 “지난 9월 사고를 인지한 후 비밀번호 변경 등 대응 조치를 시행했다. 유출 가능성이 있는 정보에는 슬랙에 등록된 1만7,368명의 이름, 이메일 주소, 채팅 기록이 포함된다”라고 전했다.

닛케이는 “사건의 중대성과 투명성 확보를 위해 일본 개인정보보호위원회에 자진 신고했다”며, “취재원이나 보도 활동과 관련된 정보는 유출되지 않았다”라고 덧붙였다.

사이버보안 컨설턴트 브라이언 레빈은 이번 사건을 “최근 잇따르고 있는 슬랙 보안 침해 사례의 연장선”이라고 분석했다. 레빈은 “직원이나 외주 인력이 기업이 관리하지 않는 기기로 사내 시스템에 접근하면 공격 위험이 급격히 커진다”라고 지적했다. 또 “최근 옥타, MGM 리조트, 디즈니 등에서도 이와 유사한 비관리 접근으로 인한 보안 사고가 발생했다”라고 설명했다. 지난해 디즈니 외주 인력이 관리되지 않은 개인 기기로 슬랙에 접속하면서, 공격자가 내부 데이터 약 1테라바이트를 탈취한 사례도 있었다고 덧붙였다.

인포테크 리서치 그룹 기술 자문 에릭 아바키안은 “닛케이 사고의 가장 우려스러운 점은 공격자가 다중 인증을 손쉽게 우회했다는 사실”이라고 지적했다. 악성코드가 감염된 개인용 컴퓨터에서 인증 정보를 탈취해 세션 토큰과 쿠키를 공격자 서버로 전송하면, 공격자는 별도의 인증 절차 없이 슬랙에 로그인할 수 있다. 아바키안은 이런 유형의 공격이 최고정보보호책임자가 보안 접근 절차를 전면 재검토해야 함을 보여준다고 분석했다.

이번 사고는 비관리 기기, 장기 세션 토큰, 부족한 로그와 경고 시스템 등 여러 취약점을 드러냈다. 아바키안은 슬랙을 비롯한 협업 플랫폼 사용 기업이 활성 세션을 주기적으로 종료하고, 비밀번호와 API 토큰을 정기적으로 갱신하는 내부 보안 정책을 마련해야 한다고 조언했다.

온라인 비즈니스 시스템즈 수석 보안 컨설턴트 제프 맨은 “이번 사고의 핵심은 슬랙의 취약점이 아니라 닛케이의 보안 관리 체계에 있다”라고 지적했다. 또한 “직원들이 개인 기기에서 슬랙을 사용할 수 있도록 허용한 정책은 명백한 위험 관리 실패”라고 강조했다.

보안 컨설턴트이자 더 사이버 닥터 최고경영자 스티븐 보이스는 “개인 기기로 업무 시스템에 접속할 때 발생할 수 있는 결과를 보여주는 사례”라고 말했다. 개인 기기가 악성코드에 감염되면 인증 정보 유출은 시간문제이며, 슬랙에는 메시지, 파일, 링크, 심지어 비밀번호와 같은 민감한 정보가 다수 저장된다고 지적했다.

보이스는 이번 사건이 “제로트러스트 보안 모델이 네트워크를 넘어 단말 보안까지 확장돼야 함을 보여준다”라고 강조했다. 또한, 기기 인증, 관리형 하드웨어 기반 다중 인증, 협업 플랫폼 내 데이터 통제 등 포괄적 대응이 필요하다고 분석했다. 보이스는 “BYOD 정책을 완전히 폐지할 필요는 없지만, 기업이 지급하지 않은 기기를 포함한 근무 환경 전반의 보안을 강화해야 한다”라고 제언했다.

dl-itworldkorea@foundryco.com