2018.11.29

10개의 슬랙 보안 툴 비교와 슬랙 보안 제품 구매시 물어야 할 질문 8가지

David Strom | CSO
슬랙(Slack) 메시지 보호에 관한한 많은 기업이 여전히 주먹구구식에 머물러 있다. 슬랙은 기업용 메시징 앱 분야에서 사실상의 표준으로 부상했다. 사용자 수는 수백만 명에 이르고 서드파티 애드온 봇을 비롯해 기능을 확장하는 다양한 앱이 존재한다. 

슬랙은 메시징 앱 특유의 즉각적인 커뮤니케이션이 가능하다는 장점에 힘입어 이메일을 대체하는 중이다. 그러나 슬랙의 유연성과 보편성은 슬랙을 사용한 커뮤니케이션을 그만큼 더 철저히 보호해야 하는 이유도 된다.
 
ⓒ Scott Webb (CC0)

슬랙이 보안을 등한시하는 것은 아니다. 오히려 그 반대다. 지난 1월 업체 측은 슬랙에 관한 다양한 우려를 주제로 한 본지와의 인터뷰 내용을 게시한 적이 있다. 슬랙의 노력은 주로 앱의 버그를 없애고 정기적으로 취약점을 테스트하는 데 초점을 둔다. 

슬랙은 서드파티 개발자를 대상으로 API를 공개할 당시 앱 개발 과정에서 보안 통제 수단을 확보하도록 하기 위한 기본적인 규칙도 마련했다. 또한 슬랙은 모든 사용자가 이중요소 인증을 실행하고, 사용자를 위한 자동 프로비저닝과 디프로비저닝을 설정하는 등 앱의 보안을 유지하기 위한 권장 사항도 제시한다.
 

슬랙에서 부족한 건 "악성코드 보호"

이유가 무엇일까. 슬랙 앱 자체에는 안티악성코드나 URL 필터링이 내장되어 있지 않기 때문이다. 이와 같이 눈에 명확히 띄는 위험도 있지만 명확히 드러나지 않는 위험도 있다. 예를 들어 다양한 조직의 구성원을 슬랙 채널을 통해 연결할 수 있으므로 각 조직의 보안 정책이 서로 다른 상태에서 파일과 메시지를 자유롭게 교환할 수 있게 된다. 물론 명시적으로 초대된 사용자만 채널에 참여할 수 있지만 초대를 받았다고 해서 신뢰할 수 있다는 의미는 아니다.

슬랙 사용자라면 누구나 악성 URL을 입력할 수 있고, 입력된 URL은 조직 전체에 순식간에 공유된다. 누구나 1,000개에 육박하는 서드파티 앱 카탈로그에서 아무 앱이나 추가할 수 있고 적절한 정책이 수반되지 않을 경우, 이런 앱으로 인해 공격 표면이 확장될 위험이 있다. 이 문제에 대처하기 위해 서드파티 보안 앱이 사용된다.
 
ⓒ Metacert

슬랙 카탈로그에는 50개 이상의 보안 및 규정 준수 앱 링크가 있다. 필자는 10여 개의 제품을 살펴보고 프로덕션 슬랙 메시징 그룹에서 실제로 이 가운데 여러 가지를 사용해봤다. 모든 보안 제품이 그렇듯이 모든 상황에서 효과적인 보안 툴은 없다. 

일부 툴은 URL을 스캔하고 개인 식별 정보(사회보장번호, 신용카드번호 등) 전송을 차단하고 악성코드 다운로드를 유발하는 링크를 검열하고 기타 그룹 채널이나 비공개 직접 메시지 교환에 침투할 수 있는 악성코드를 차단한다. 본지가 제공하는 요약 차트를 참고해 각각의 기능과 가격, 사용 맥락을 파악할 수 있을 것이다.
 
ⓒ CSO


슬랙 보안 툴, 사용 편의성과 기능은 제각각

테스트 조건은 제품에 따라 아주 쉬운 경우도 있고 까다로운 경우도 있으므로 투자해야 할 시간이 어느 정도인지에 대한 정보도 차트에 넣었다. 메타서트(Metacert), 메타실드(Metashield)와 같이 URL을 클릭해 슬랙 그룹에 추가하기만 하면 되는 간단한 앱도 있고, 업체 영업 부서와의 통화를 예약해야 이용해 볼 수있는 앱도 있다. 또한 업체의 슬랙 봇과 연계해서 짜임새있게 문서를 제공하는 경우가 있는가 하면 여러 온라인 참조 문서를 일일이 성가시게 찾아다녀야 하는 경우도 있다.
 
ⓒ ZeroFox

일부 제품은 세밀한 툴과 맞춤 구성 기능을 제공하는 요약 대시보드와 연동되는데, 메타서트와 제로폭스(ZeroFox)가 대표적인 예다. 이런 대시보드를 사용해 검사 및 규정 준수 보고서를 작성할 수 있다. 보고서 기능은 상황에 따라 중요한 기능이다. 대시보드는 앱에서 예를 들어 메시징 채널을 통한 회사 기밀 유출을 방지하는 맞춤형 필터링을 설정할 때도 유용하다.
 

슬랙 보안 툴을 구매할 때 던져야 할 질문 8가지

슬랙 통신을 보호하려는 경우, 구매 결정을 내리기에 앞서 고려 중인 보안 업체에게 다음과 같은 질문을 던져야 한다.

- 정확히 어떤 위험을 차단하고자 하는가. 사용자의 악성 URL 입력, 피싱 미끼에 현혹된 악성코드 다운로드, 또는 우발적인 사회보장번호 공개 등 각각의 툴은 이런 상황에 맞는 기능을 제공한다. 차트에서 일반적인 기능에 대한 가이드를 볼 수 있다.

- 최종적인 가격은 얼마인가. 쉽지 않은 일이다. 아바난(Avanan), 메타실드, 스렛스택(Threatstack)과 같이 무료 평가판을 제공하는 업체 역시 마찬가지다. 웹사이트에 가격을 공개하는 업체는 거의 없다. 사용자별, 도메인별 가격이 뒤섞인 혼란스러운 웹 페이지도 있고(메타서트), 슬랙 보호 기능을 구체적으로 언급하지 않는 경우도 있다(아바난). 다른 업체들 역시 가격을 밝히지 않은 채 먼저 연락처 정보를 제출할 것을 요구한다. 이 경우 구체적인 가격은 업체 측이 전화를 걸어 현재 상황을 평가한 이후에 확인할 수 있다. 어쨌든 가격을 알아낸 경우에는 차트에 가격 정보도 넣었다.

- 슬랙 보호 외에 필요한 기능은 무엇인가. 데미스토(Demisto), 원트러스트(OneTrust)와 같이 슬랙 전용으로 설계된 툴도 있지만 더 광범위한 기능의 일부로, 또는 동일한 업체의 애드온 툴과 함께 사용하는 형태로 다른 용도로 사용 가능한 툴도 있다. 예를 들어 메타실드와 메타서트는 스카이프, 텔레그램, 페이스북 메신저와 같은 다른 메시징 플랫폼도 보호할 수 있다. 제로폭스는 여러 소셜 미디어 계정에 걸쳐 커뮤니케이션을 보호하는 데 중점을 둔다. 서비스나우(ServiceNow), 워크데이(Workday)와 같이 메시징 구성 요소를 두면서 더 전반적인 SaaS 앱 보호가 가능한 툴도 있다. 자사의 환경에 무엇이 설치되어 있는지, 이런 툴에 외부 사용자가 있는지, 그리고 자사가 어느 정도의 위험 기피를 원하는 지에 따라 판단해야 한다.

- CASB(Cloud Access Security Broker)를 사용하는 편이 더 좋지 않은가. 이 질문은 중요한 논점으로 이어진다. 서드파티 슬랙 앱을 많이 살펴볼수록 어디서 본 것 같은 느낌을 받는다. 이유는 일부 앱은 사실 CASB 제품이기 때문이다. 시스코 클라우드락, 맥아피/스카이하이 또는 아바난 등 일부 CASB 업체는 각기 보유한 무수히 많은 SaaS 앱의 일부분으로 슬랙 보호 기능을 제공한다. 그러나 CASB를 선택할 경우 불필요한 문제가 발생하거나, 기존 CASB 업체가 슬랙을 지원하지 않는 경우 업체 변경을 고려해야 하는 상황에 처할 수 있다.

- 단축 URL을 잡아내는가. 메타서트와 같은 일부 툴은 단축 링크를 자동으로 확장한 다음 악성 또는 양성 여부를 검사한다. 유용한 기능이다.

- 대시보드에 어떤 정보가 제공되는가. 일반적으로 이런 툴은 웹 기반 대시보드와 연계된다. 대시보드에서 다양한 위협 정책을 설정할 수 있다(예를 들어 금지어 사전에 단어 추가, 이벤트에 대한 툴 대응 튜닝). 메타서트와 제로폭스 모두 이와 같은 대시보드를 제공하지만, 둘 모두 설정을 위한 UI를 익히려면 노력이 좀 필요하다.

- 툴의 실시간 기능은. 아바난, 제로폭스, 메타서트와 같은 일부 제품은 수초 이내에 메시지를 검열한다. 툴에 따라 그보다 더 오래 걸리기도 한다. 오래 걸릴수록 악성 콘텐츠가 채널에 남는 시간이 길어지고 사용자가 그 콘텐츠를 복사하거나 클릭할 가능성도 높아진다.

- 툴 설치를 위해 슬랙 설치본에 대한 관리자 액세스 권한이 필요한가. 필요한 경우도 있고 필요없는 경우도 있다. 메타서트, 제로폭스와 같은 일부 툴은 상당히 많은 권한을 요구하지만 별다른 권한이 필요없는 툴도 있다. 이 부분이 바로 슬랙 보안의 오랜 숙제다. 즉, 슬랙 채널을 더 강력하게 보호하려면 메시지 콘텐츠를 검사하기 위한 권한도 더 많이 필요하다. editor@itworld.co.kr 


2018.11.29

10개의 슬랙 보안 툴 비교와 슬랙 보안 제품 구매시 물어야 할 질문 8가지

David Strom | CSO
슬랙(Slack) 메시지 보호에 관한한 많은 기업이 여전히 주먹구구식에 머물러 있다. 슬랙은 기업용 메시징 앱 분야에서 사실상의 표준으로 부상했다. 사용자 수는 수백만 명에 이르고 서드파티 애드온 봇을 비롯해 기능을 확장하는 다양한 앱이 존재한다. 

슬랙은 메시징 앱 특유의 즉각적인 커뮤니케이션이 가능하다는 장점에 힘입어 이메일을 대체하는 중이다. 그러나 슬랙의 유연성과 보편성은 슬랙을 사용한 커뮤니케이션을 그만큼 더 철저히 보호해야 하는 이유도 된다.
 
ⓒ Scott Webb (CC0)

슬랙이 보안을 등한시하는 것은 아니다. 오히려 그 반대다. 지난 1월 업체 측은 슬랙에 관한 다양한 우려를 주제로 한 본지와의 인터뷰 내용을 게시한 적이 있다. 슬랙의 노력은 주로 앱의 버그를 없애고 정기적으로 취약점을 테스트하는 데 초점을 둔다. 

슬랙은 서드파티 개발자를 대상으로 API를 공개할 당시 앱 개발 과정에서 보안 통제 수단을 확보하도록 하기 위한 기본적인 규칙도 마련했다. 또한 슬랙은 모든 사용자가 이중요소 인증을 실행하고, 사용자를 위한 자동 프로비저닝과 디프로비저닝을 설정하는 등 앱의 보안을 유지하기 위한 권장 사항도 제시한다.
 

슬랙에서 부족한 건 "악성코드 보호"

이유가 무엇일까. 슬랙 앱 자체에는 안티악성코드나 URL 필터링이 내장되어 있지 않기 때문이다. 이와 같이 눈에 명확히 띄는 위험도 있지만 명확히 드러나지 않는 위험도 있다. 예를 들어 다양한 조직의 구성원을 슬랙 채널을 통해 연결할 수 있으므로 각 조직의 보안 정책이 서로 다른 상태에서 파일과 메시지를 자유롭게 교환할 수 있게 된다. 물론 명시적으로 초대된 사용자만 채널에 참여할 수 있지만 초대를 받았다고 해서 신뢰할 수 있다는 의미는 아니다.

슬랙 사용자라면 누구나 악성 URL을 입력할 수 있고, 입력된 URL은 조직 전체에 순식간에 공유된다. 누구나 1,000개에 육박하는 서드파티 앱 카탈로그에서 아무 앱이나 추가할 수 있고 적절한 정책이 수반되지 않을 경우, 이런 앱으로 인해 공격 표면이 확장될 위험이 있다. 이 문제에 대처하기 위해 서드파티 보안 앱이 사용된다.
 
ⓒ Metacert

슬랙 카탈로그에는 50개 이상의 보안 및 규정 준수 앱 링크가 있다. 필자는 10여 개의 제품을 살펴보고 프로덕션 슬랙 메시징 그룹에서 실제로 이 가운데 여러 가지를 사용해봤다. 모든 보안 제품이 그렇듯이 모든 상황에서 효과적인 보안 툴은 없다. 

일부 툴은 URL을 스캔하고 개인 식별 정보(사회보장번호, 신용카드번호 등) 전송을 차단하고 악성코드 다운로드를 유발하는 링크를 검열하고 기타 그룹 채널이나 비공개 직접 메시지 교환에 침투할 수 있는 악성코드를 차단한다. 본지가 제공하는 요약 차트를 참고해 각각의 기능과 가격, 사용 맥락을 파악할 수 있을 것이다.
 
ⓒ CSO


슬랙 보안 툴, 사용 편의성과 기능은 제각각

테스트 조건은 제품에 따라 아주 쉬운 경우도 있고 까다로운 경우도 있으므로 투자해야 할 시간이 어느 정도인지에 대한 정보도 차트에 넣었다. 메타서트(Metacert), 메타실드(Metashield)와 같이 URL을 클릭해 슬랙 그룹에 추가하기만 하면 되는 간단한 앱도 있고, 업체 영업 부서와의 통화를 예약해야 이용해 볼 수있는 앱도 있다. 또한 업체의 슬랙 봇과 연계해서 짜임새있게 문서를 제공하는 경우가 있는가 하면 여러 온라인 참조 문서를 일일이 성가시게 찾아다녀야 하는 경우도 있다.
 
ⓒ ZeroFox

일부 제품은 세밀한 툴과 맞춤 구성 기능을 제공하는 요약 대시보드와 연동되는데, 메타서트와 제로폭스(ZeroFox)가 대표적인 예다. 이런 대시보드를 사용해 검사 및 규정 준수 보고서를 작성할 수 있다. 보고서 기능은 상황에 따라 중요한 기능이다. 대시보드는 앱에서 예를 들어 메시징 채널을 통한 회사 기밀 유출을 방지하는 맞춤형 필터링을 설정할 때도 유용하다.
 

슬랙 보안 툴을 구매할 때 던져야 할 질문 8가지

슬랙 통신을 보호하려는 경우, 구매 결정을 내리기에 앞서 고려 중인 보안 업체에게 다음과 같은 질문을 던져야 한다.

- 정확히 어떤 위험을 차단하고자 하는가. 사용자의 악성 URL 입력, 피싱 미끼에 현혹된 악성코드 다운로드, 또는 우발적인 사회보장번호 공개 등 각각의 툴은 이런 상황에 맞는 기능을 제공한다. 차트에서 일반적인 기능에 대한 가이드를 볼 수 있다.

- 최종적인 가격은 얼마인가. 쉽지 않은 일이다. 아바난(Avanan), 메타실드, 스렛스택(Threatstack)과 같이 무료 평가판을 제공하는 업체 역시 마찬가지다. 웹사이트에 가격을 공개하는 업체는 거의 없다. 사용자별, 도메인별 가격이 뒤섞인 혼란스러운 웹 페이지도 있고(메타서트), 슬랙 보호 기능을 구체적으로 언급하지 않는 경우도 있다(아바난). 다른 업체들 역시 가격을 밝히지 않은 채 먼저 연락처 정보를 제출할 것을 요구한다. 이 경우 구체적인 가격은 업체 측이 전화를 걸어 현재 상황을 평가한 이후에 확인할 수 있다. 어쨌든 가격을 알아낸 경우에는 차트에 가격 정보도 넣었다.

- 슬랙 보호 외에 필요한 기능은 무엇인가. 데미스토(Demisto), 원트러스트(OneTrust)와 같이 슬랙 전용으로 설계된 툴도 있지만 더 광범위한 기능의 일부로, 또는 동일한 업체의 애드온 툴과 함께 사용하는 형태로 다른 용도로 사용 가능한 툴도 있다. 예를 들어 메타실드와 메타서트는 스카이프, 텔레그램, 페이스북 메신저와 같은 다른 메시징 플랫폼도 보호할 수 있다. 제로폭스는 여러 소셜 미디어 계정에 걸쳐 커뮤니케이션을 보호하는 데 중점을 둔다. 서비스나우(ServiceNow), 워크데이(Workday)와 같이 메시징 구성 요소를 두면서 더 전반적인 SaaS 앱 보호가 가능한 툴도 있다. 자사의 환경에 무엇이 설치되어 있는지, 이런 툴에 외부 사용자가 있는지, 그리고 자사가 어느 정도의 위험 기피를 원하는 지에 따라 판단해야 한다.

- CASB(Cloud Access Security Broker)를 사용하는 편이 더 좋지 않은가. 이 질문은 중요한 논점으로 이어진다. 서드파티 슬랙 앱을 많이 살펴볼수록 어디서 본 것 같은 느낌을 받는다. 이유는 일부 앱은 사실 CASB 제품이기 때문이다. 시스코 클라우드락, 맥아피/스카이하이 또는 아바난 등 일부 CASB 업체는 각기 보유한 무수히 많은 SaaS 앱의 일부분으로 슬랙 보호 기능을 제공한다. 그러나 CASB를 선택할 경우 불필요한 문제가 발생하거나, 기존 CASB 업체가 슬랙을 지원하지 않는 경우 업체 변경을 고려해야 하는 상황에 처할 수 있다.

- 단축 URL을 잡아내는가. 메타서트와 같은 일부 툴은 단축 링크를 자동으로 확장한 다음 악성 또는 양성 여부를 검사한다. 유용한 기능이다.

- 대시보드에 어떤 정보가 제공되는가. 일반적으로 이런 툴은 웹 기반 대시보드와 연계된다. 대시보드에서 다양한 위협 정책을 설정할 수 있다(예를 들어 금지어 사전에 단어 추가, 이벤트에 대한 툴 대응 튜닝). 메타서트와 제로폭스 모두 이와 같은 대시보드를 제공하지만, 둘 모두 설정을 위한 UI를 익히려면 노력이 좀 필요하다.

- 툴의 실시간 기능은. 아바난, 제로폭스, 메타서트와 같은 일부 제품은 수초 이내에 메시지를 검열한다. 툴에 따라 그보다 더 오래 걸리기도 한다. 오래 걸릴수록 악성 콘텐츠가 채널에 남는 시간이 길어지고 사용자가 그 콘텐츠를 복사하거나 클릭할 가능성도 높아진다.

- 툴 설치를 위해 슬랙 설치본에 대한 관리자 액세스 권한이 필요한가. 필요한 경우도 있고 필요없는 경우도 있다. 메타서트, 제로폭스와 같은 일부 툴은 상당히 많은 권한을 요구하지만 별다른 권한이 필요없는 툴도 있다. 이 부분이 바로 슬랙 보안의 오랜 숙제다. 즉, 슬랙 채널을 더 강력하게 보호하려면 메시지 콘텐츠를 검사하기 위한 권한도 더 많이 필요하다. editor@itworld.co.kr 


X