협업 메신저 ‘슬랙’, 심각한 보안 취약점 발견
협업 메신저 서비스 ‘슬랙’의 보안 취약점이 발견됐다. <더넥스트웹>은 3월2일(현지시간) 해커가 슬랙 계정을 가로챌 수 있는 보안 허점이 드러났다고 보도했다. 현재 슬랙은 해당 문제점을 인지하고 보안 패치를 진행한 상태다.
플리커 Giorgio Minguzzi. CC BY-SA 2.0.
보안 취약점은 사이버보안 업체 디텍티파이의 프란스 로젠 보안 연구원이 발견했다. 이 결함을 이용해 해커는 피싱 페이지로 사용자를 유도한 후 사용자의 슬랙 토큰을 몰래 가져갈 수 있다. 토큰은 연속된 문자에서 구별할 수 있는 단위로, 사용자 권한 인증에 사용된다. 토큰을 훔치면 사용자 계정에 대한 접근 권한을 얻는 용도로 악용할 수 있다.
로젠 연구원은 슬랙 토큰을 훔치고 악용할 수 있는 사례를 발견하고 토큰을 수집하고 저장하게끔 하는 페이지를 만들었다. 해당 페이지를 클릭하면 슬랙 전화가 열리고 이 과정에서 해커의 서버로 웹소켓 재연결이 시작된다.
슬랙은 해당 문제점을 인정하고 보안 패치를 진행했다. 로젠은 슬랙 측이 자신이 보고한 보안 취약점을 5시간 만에 제거했다고 밝혔다. 슬랙은 로젠에게 버그 발견에 대한 공로로 보상금 3천달러를 지급했다.
googletag.cmd.push(function() { googletag.defineSlot('/6357468/0.Mobile_Article_intext_1_300_250', [300, 250], 'div-gpt-ad-1468307418602-0').addService(googletag.pubads());googletag.pubads().collapseEmptyDivs();googletag.pubads().enableSyncRendering();googletag.enableServices();googletag.display('div-gpt-ad-1468307418602-0'); });
프란스 로젠은 버그 사냥꾼으로 유명하다. 이전에도 클라우드 스토리지 서비스 ‘메가‘의 XSS 취약점을 발견해 1천유로, 우리돈 120여만원의 보상금을 받은 바 있다.
