메신저 보안

사내 메신저에서 매일 벌어지는 보안 실수 7가지 – 슬랙, 잔디, 팀즈 사용자라면 꼭 확인하세요

작성자:

어제 회의 때 나눴던 얘기, 혹시 기억하세요? 김 팀장님이 개발 중인 신규 프로젝트 파일을 슬랙에 올리면서 “급하니까 일단 여기다 올릴게요!”라고 하셨죠. 그리고 막내 사원은 협력업체 담당자를 잔디 채널에 초대하면서 “우리 채널 전체 접근 권한 줘도 되죠?”라고 물어봤고요.

이런 상황, 여러분 회사에서도 매일 벌어지고 있지 않나요?

2025년 현재, 국내 기업의 90% 이상이 슬랙(Slack), 마이크로소프트 팀즈(Microsoft Teams), 잔디(JANDI), 카카오워크 같은 사내 메신저를 사용하고 있습니다. 코로나 이후 재택근무가 일상화되면서 이런 협업툴은 이제 선택이 아닌 필수가 됐죠.

하지만 편리함 뒤에는 생각보다 큰 위험이 숨어있습니다.

2024년 7월, 디즈니의 사내 슬랙 메신저가 해킹당해 직원들의 대화 내용과 기밀 문서가 대규모로 유출되는 사건이 발생했습니다. 국내에서도 2024년 5월, 한 유명 반려동물 기업에서 사내 메신저 무단 열람 논란이 불거지며 협업툴의 보안과 프라이버시 문제가 수면 위로 떠올랐죠.

오늘은 사내 메신저를 사용하면서 우리가 무심코 저지르는 보안 실수 7가지와, 이를 막기 위한 실전 가이드를 낱낱이 파헤쳐 보겠습니다.

1. “비밀번호 1234로 해놨어요” – 2단계 인증 없이 사용하기

실제로 일어난 일

A 스타트업의 엔지니어 한 명이 피싱 메일에 속아 슬랙 로그인 정보를 입력했습니다. 2단계 인증이 설정되지 않았던 해당 계정은 단 몇 분 만에 해커에게 넘어갔고, 그 엔지니어가 속한 개발팀 채널의 R&D 문서와 API 키 정보가 모조리 유출됐습니다.

왜 위험할까요?

사내 메신저 계정 하나가 뚫리면, 그 사람이 속한 모든 채널의 대화 내역과 공유 파일에 접근할 수 있게 됩니다. 특히 슬랙이나 팀즈는 검색 기능이 강력해서, 해커가 “API KEY”, “비밀번호”, “계약서” 같은 키워드만 검색해도 민감한 정보를 손쉽게 찾아낼 수 있죠.

예방 가이드

슬랙 2단계 인증 설정 방법:

  1. 슬랙 웹사이트에서 my.slack.com/account/settings 접속
  2. ‘2단계 인증’ 옆의 펼치기 클릭
  3. ‘2단계 인증 설정’ 선택 후 비밀번호 입력
  4. Google Authenticator 같은 인증 앱 다운로드
  5. QR 코드 스캔 후 인증 코드 입력

팀즈 다단계 인증(MFA) 설정:

  1. Microsoft 365 관리 센터 접속
  2. ‘보안’ → ‘다단계 인증’ 메뉴 선택
  3. 조직 내 모든 사용자 또는 특정 사용자에게 MFA 필수 적용
  4. Microsoft Authenticator 앱 또는 SMS 인증 선택

잔디 보안 강화:

  • 관리자 설정에서 ‘2단계 인증 필수’ 옵션 활성화
  • IP 주소 기반 접근 제어 설정

전문가들은 “2025년 현재 2단계 인증 없이 협업툴을 사용하는 것은 현관문을 열어두고 외출하는 것과 같다”고 경고합니다.

2. “다 같이 보는 건데 뭐” – 전사 공개 채널에 민감 정보 공유하기

이런 적 있으세요?

  • “잠깐 계좌번호 좀 올려주세요” → 전체 채널에 계좌번호 공유
  • “고객사 연락처 리스트입니다” → 개인정보 가득한 엑셀 파일 첨부
  • “개발 서버 주소는요…” → API 키와 비밀번호를 평문으로 공유

실제 피해 사례

B 기업은 전사 공지 채널에서 협력업체 담당자 500여 명의 연락처가 담긴 파일을 공유했습니다. 문제는 해당 채널에 이미 퇴사한 직원들의 계정이 여전히 남아있었고, 심지어 외주 개발자들도 접근할 수 있었다는 점입니다. 개인정보보호법 위반으로 과징금을 물게 된 건 당연한 수순이었죠.

예방 가이드

정보 분류 원칙 세우기:

  • 공개 정보: 사내 행사 공지, 일반 업무 협의
  • 내부 전용: 프로젝트 진행 상황, 회의록
  • 기밀: 재무 자료, 고객 정보, 소스코드, 계약서
  • 극비: API 키, 비밀번호, 개인 민감 정보

채널별 접근 권한 설정:

  1. 프로젝트별로 비공개 채널 생성
  2. 꼭 필요한 사람만 초대
  3. 외부 협력사는 게스트 계정으로 제한적 접근
  4. 민감 정보는 DM(다이렉트 메시지)이나 암호화된 별도 저장소 활용

실전 팁:

  • 비밀번호나 API 키는 1Password, LastPass 같은 비밀번호 관리 도구 사용
  • 대용량 파일이나 민감 정보는 접근 권한이 관리되는 클라우드(Google Drive, OneDrive)에 업로드 후 링크만 공유
  • 고객 개인정보는 절대 메신저에 직접 올리지 말 것

3. “어 이거 편한데?” – 수상한 봇과 플러그인 무분별하게 설치하기

함정에 빠지는 순간

슬랙이나 팀즈는 생산성을 높여주는 다양한 봇(Bot)과 플러그인을 제공합니다. 일정 관리, 할 일 목록, 설문조사 등 정말 편리한 기능들이 많죠. 하지만 여기에도 함정이 있습니다.

C 회사는 팀즈에 “자동 회의록 작성 봇”을 설치했습니다. 그런데 이 봇이 요구하는 권한이 “모든 채널의 메시지 읽기”와 “파일 접근”이었습니다. 나중에 확인해보니 해당 봇 개발사의 보안이 허술해서, 수집된 회의록 데이터가 제3자에게 노출될 위험이 있었던 거죠.

예방 가이드

봇 설치 전 체크리스트:

  •  개발사가 신뢰할 수 있는 곳인가?
  •  최근에도 업데이트가 되고 있는가?
  •  요구하는 권한이 과도하지 않은가?
  •  다른 사용자들의 리뷰는 어떤가?
  •  데이터를 어디에 저장하는가?

안전한 봇 사용 원칙:

  1. 공식 앱 스토어에서만 다운로드
  2. “모든 채널 접근” 같은 과도한 권한 요구 시 거부
  3. 정기적으로 설치된 봇 목록 점검
  4. 사용하지 않는 봇은 즉시 제거
  5. IT 부서나 보안 팀의 사전 승인 받기

추천 봇 vs 주의할 봇:

 안전한 공식 봇:

  • Google Drive (공식)
  • Zoom (공식)
  • Trello (공식)
  • Polly (설문조사, 검증된 개발사)

 주의가 필요한 경우:

  • 생소한 개발사의 봇
  • 과도한 권한 요구
  • 오래전에 업데이트가 멈춘 봇
  • 개인정보 수집 명시가 불분명한 봇

4. “퇴사했는데 아직도 보여요?” – 퇴사자 계정 방치하기

깜짝 놀랄 통계

국내 한 보안업체의 조사에 따르면, 중소기업의 43%가 퇴사자의 협업툴 계정을 평균 2주 이상 방치하는 것으로 나타났습니다. 더 충격적인 건, 일부 기업은 퇴사한 지 6개월이 지난 계정도 여전히 활성화 상태로 남아있다는 점입니다.

실제 보안 사고

D 스타트업에서 불만을 품고 퇴사한 직원이 있었습니다. 그런데 회사에서 슬랙 계정 삭제를 깜빡했죠. 해당 직원은 퇴사 후에도 한 달간 슬랙에 접속해서 신규 프로젝트 정보와 고객 명단을 빼돌렸고, 이를 경쟁사에 넘겼습니다.

예방 가이드

퇴사자 계정 관리 프로세스:

퇴사 당일:

  • 즉시 계정 비활성화 (삭제 전 데이터 백업 필요시 48시간 이내)
  • 공유 파일 소유권 이전
  • 개인 DM 내역 아카이빙(법적 요구사항 확인)

정기 점검 (월 1회):

  • 활동이 없는 휴면 계정 확인
  • 장기 휴직자 계정 임시 정지
  • 외부 협력사 게스트 계정 재검토

자동화 도구 활용:

  • Azure AD와 슬랙/팀즈 연동하여 계정 자동 관리
  • HR 시스템과 협업툴 계정 동기화
  • 퇴사 처리 시 자동으로 모든 SaaS 접근 권한 회수

5. “급한데 일단 링크 클릭!” – 피싱 메시지 무방비 상태

진화하는 피싱 공격

예전엔 “당첨되셨습니다!” 같은 조잡한 피싱 메시지가 대부분이었습니다. 하지만 2025년 현재 피싱 공격은 믿을 수 없을 만큼 정교해졌습니다.

실제 피싱 사례:

  • “슬랙 보안 업데이트가 필요합니다. 재로그인해주세요” → 가짜 로그인 페이지
  • “팀장님이 중요 문서를 공유했습니다” → 악성코드 다운로드
  • “HR팀입니다. 급여 정보 확인 부탁드립니다” → 개인정보 탈취

2025년 4월에는 MS 팀즈를 통한 ‘비싱(Voice + Phishing)’ 공격이 보고되기도 했습니다. 해커가 팀즈 메신저를 악용해 직원들에게 접근한 거죠.

예방 가이드

피싱 의심 체크리스트:

  •  발신자가 평소와 다른 톤으로 말하는가?
  •  지나치게 급박한 상황을 연출하는가?
  •  링크 URL이 공식 도메인과 다른가?
  •  개인정보나 비밀번호를 요구하는가?
  •  파일 첨부가 예상 밖으로 왔는가?

실전 대응법:

  1. 링크 확인 습관:
    • 마우스를 올려서 실제 URL 확인
    • 단축 URL(bit.ly 등)은 의심
    • 공식 사이트 주소를 직접 입력해서 접속
  2. 2차 확인:
    • 의심스러운 요청은 전화나 다른 채널로 재확인
    • “팀장님이 보냈다”는 메시지도 직접 전화로 확인
  3. 보안 교육:
    • 분기별 전사 피싱 메일 훈련 실시
    • 최신 피싱 사례 공유
    • 의심 메시지 신고 채널 운영

6. “공용 와이파이에서 급한 일 처리” – 불안전한 네트워크에서 접속하기

카페에서 일어난 정보 유출

재택근무와 워케이션이 일상화되면서, 카페나 공항에서 사내 메신저를 사용하는 경우가 많아졌습니다. 하지만 공용 와이파이는 해커들에게 최고의 사냥터입니다.

E 직원은 공항 무료 와이파이로 팀즈에 접속해서 긴급 업무를 처리했습니다. 그런데 같은 네트워크에 있던 해커가 ‘중간자 공격(Man-in-the-Middle)’으로 로그인 정보를 가로챘고, 회사 내부 대화 내용까지 엿볼 수 있었습니다.

예방 가이드

공용 네트워크 사용 시 필수 수칙:

  1. VPN 사용 필수
    • 회사 제공 VPN이나 신뢰할 수 있는 상용 VPN 설치
    • VPN 연결 후에만 사내 메신저 접속
    • 추천: NordVPN, ExpressVPN, 회사 전용 VPN
  2. 모바일 핫스팟 활용
    • 급한 경우 스마트폰 데이터 사용
    • 공용 와이파이보다 훨씬 안전
  3. 브라우저 보안
    • HTTPS 연결 확인 (주소창 자물쇠 아이콘)
    • 자동 로그인 저장 해제
    • 작업 후 반드시 로그아웃
  4. 위험한 행동 피하기
    • 공용 와이파이에서 파일 다운로드 자제
    • 민감한 정보 전송 금지
    • 금융 거래나 개인정보 입력 금지

7. “파일 공유는 ‘링크 공유’가 편하지” – 외부 공개 링크 무분별 생성

검색엔진에 노출된 기밀 문서

구글 드라이브, 원드라이브 같은 클라우드 저장소와 연동된 협업툴에서 파일을 공유할 때, “링크가 있는 모든 사용자”로 설정하는 경우가 많습니다. 편하긴 하지만, 이건 정말 위험한 선택입니다.

F 기업의 팀장은 프로젝트 기획서를 구글 드라이브에 올리고 “링크가 있는 모든 사용자가 조회 가능” 설정으로 슬랙에 공유했습니다. 문제는 그 링크가 검색엔진에 인덱싱됐다는 점입니다. 몇 달 뒤, 경쟁사가 유사한 서비스를 출시했고, F 기업은 기획을 통째로 베낀 것으로 의심했지만 증거를 찾을 수 없었습니다.

예방 가이드

파일 공유 보안 설정:

슬랙에서 안전하게 파일 공유하기:

  1. 파일 업로드 시 채널 지정 (DM 또는 비공개 채널)
  2. 외부 링크 생성 시 반드시 권한 설정 확인
  3. 민감 파일은 다운로드 및 복사 금지 옵션 활성화
  4. 공유 만료 기간 설정

구글 드라이브 권한 설정:

  • “링크가 있는 모든 사용자” → 절대 사용 금지
  • “특정 사용자” → 이메일 주소로 직접 공유
  • “조직 내부” → 회사 도메인 내에서만 접근 가능
  • “조회만 가능” → 다운로드 및 복사 방지

원드라이브 팀즈 연동 시:

  • 파일 공유 전 “누가 액세스할 수 있나요?” 확인
  • 외부 공유 시 만료 날짜 설정 (최대 1주일)
  • 비밀번호 보호 옵션 활성화

정기 점검:

  • 월 1회 공유 링크 감사
  • 불필요한 외부 공유 권한 회수
  • 퇴사자나 프로젝트 종료 후 즉시 권한 제거

보안 사고 발생 시 대응 가이드

만약 보안 사고가 의심되거나 실제로 발생했다면 어떻게 해야 할까요?

즉시 조치 사항 (골든 타임 30분)

  1. 계정 정지
    • 의심되는 계정 즉시 비활성화
    • 관련 채널 접근 권한 회수
  2. 비밀번호 변경
    • 유출 가능성이 있는 모든 계정 비밀번호 강제 변경
    • 2단계 인증 재설정
  3. 로그 확인
    • 의심 계정의 접속 이력 분석
    • 다운로드한 파일 목록 확인
    • 비정상 활동 시간대 파악
  4. 관계자 통보
    • IT/보안팀 즉시 보고
    • 경영진 상황 공유
    • 필요시 고객 및 협력사 통지

사후 조치 (1주일 이내)

  • 전사 보안 점검 실시
  • 유사 사고 재발 방지 대책 수립
  • 피해 범위 확정 및 법적 대응 검토
  • 직원 대상 긴급 보안 교육

기업이 도입해야 할 통합 보안 솔루션

개인의 노력도 중요하지만, 기업 차원의 보안 시스템 구축이 필수적입니다.

2025년 트렌드: 제로 트러스트 보안

“내부망이니까 안전하다”는 개념은 이미 구시대 유물이 됐습니다. 최신 보안 패러다임인 제로 트러스트(Zero Trust)는 “아무도 믿지 마라. 모두 검증하라”는 원칙입니다.

제로 트러스트 핵심 요소:

  • 모든 접속 시도에 대한 인증 및 권한 검증
  • 최소 권한 원칙(꼭 필요한 만큼만 접근)
  • 지속적 모니터링 및 이상 징후 탐지
  • 마이크로 세그멘테이션(네트워크 세분화)

추천 보안 솔루션

CASB (Cloud Access Security Broker):

  • Microsoft Defender for Cloud Apps
  • Netskope
  • McAfee MVISION Cloud

통합 보안 관리:

  • SIEM (Security Information and Event Management)
  • DLP (Data Loss Prevention)
  • 엔드포인트 보안

중소기업을 위한 실용 솔루션:

  • 잔디 기업용 보안 패키지 (IP 제한, 로그 관리)
  • 슬랙 Enterprise Grid (고급 보안 기능)
  • 팀즈 E5 라이선스 (통합 보안 및 컴플라이언스)

마치며: 보안은 모두의 책임입니다

“우리 회사는 작아서 해커들이 관심 없을 거야”라고 생각하시나요? 그건 큰 착각입니다. 오히려 보안이 허술한 중소기업이 먼저 타깃이 됩니다.

사내 메신저 보안은 거창한 시스템이나 비싼 솔루션만의 문제가 아닙니다. 오늘 당장 실천할 수 있는 7가지 보안 수칙을 기억하세요:

  1. 2단계 인증 필수 설정
  2. 민감 정보는 공개 채널에 올리지 않기
  3. 수상한 봇 설치 전 검증하기
  4. 퇴사자 계정 즉시 삭제
  5. 피싱 메시지 의심하고 재확인하기
  6. 공용 와이파이에서 VPN 사용
  7. 파일 공유 시 권한 꼼꼼히 설정

보안 사고는 “설마 우리한테?”가 아니라 “언제 당할지 모른다”는 마음가짐으로 대비해야 합니다.

오늘 이 글을 읽으신 여러분, 지금 바로 슬랙이나 팀즈에 접속해서 2단계 인증이 켜져 있는지 확인해보세요. 그리고 팀원들과 이 내용을 공유하세요. 당신의 작은 실천이 회사 전체를 지킬 수 있습니다.

참고자료

#사내메신저보안 #슬랙보안 #팀즈보안 #잔디보안 #협업툴보안 #2단계인증 #기업보안 #정보보안 #피싱예방 #사이버보안

댓글 남기기

error: Content is protected !!