슬랙

구독
다운로드 125
업데이트 2025. 12. 25.

슬랙 앱 권한 확장

Slack 감사 로그에서 슬랙 앱 권한 확장 이벤트 발생 시 탐지합니다.

쿼리

먼저 event_name 필드의 값이 app_scopes_expanded 와 일치하는 로그를 추출합니다. 이후 details.new_scopes 값을 쉼표로 결합하여 new_scopes 필드에 할당하고, entity.app.name 값을 추출하여 app 필드에 할당합니다.

| search event_name == "app_scopes_expanded"
| eval new_scopes = strjoin(", ", valueof(details, "new_scopes"))
| eval app = valueof(valueof(entity, "app"), "name")

메시지

  • 슬랙 앱 권한 확장: 사용자 $user_name, 도메인 $context_domain, 앱 $app

출력 필드 순서

  • _log_time, src_ip, context_type, context_name, user, user_name, user_email, event_name, app, new_scopes, user_agent, entity, details

위협 분석

  • app_scopes_expanded 이벤트는 기존에 설치된 Slack 앱이 추가 OAuth 권한(scope)을 부여받았음을 의미하며, 공격자가 이미 확보한 계정 또는 앱을 이용해 접근 범위를 확장하는 전형적인 단계로 악용될 수 있습니다.
  • 확장된 권한(new_scopes)에 따라 앱이 메시지/파일/채널/사용자 정보/관리 기능까지 접근할 수 있게 되어 정보수집(Collection) 및 데이터 유출(Exfiltration) 가능성이 크게 증가합니다.
  • 앱 권한 확장은 사용자가 직접 승인해야 하는 경우가 많지만, 공격자가 사용자 계정을 탈취했거나 승인 플로우를 우회한 경우 정상 행위처럼 보이면서도 실제로는 권한 상승(Privilege Expansion)에 해당합니다.
  • 특히 admin.*, channels:history, groups:history, im:history, files:read/write, users:read, users:read.email 등 민감 scope가 포함되는 경우 조직 전체 데이터 접근 가능성이 커져 위험도가 급격히 상승합니다.
  • 권한 확장 이후 앱 토큰을 통해 지속적으로 접근할 수 있으므로, 탈취된 앱 토큰 또는 OAuth 토큰을 통한 인증 우회(T1550.001) 및 내부 확산(Lateral Movement) 시나리오와 연결될 수 있습니다.

오탐 유형

  • 정상적인 앱 기능 추가/업데이트로 인해 신규 scope 권한이 필요해 사용자가 승인한 경우
  • 관리자/IT 담당자가 기존 업무용 앱의 권한을 확장한 경우(예: 신규 채널/파일 연동 기능 활성화)
  • Slack 앱 재설치 또는 재연동 과정에서 권한 재승인으로 인해 scope 확장 이벤트가 발생한 경우
  • 테스트/개발 환경에서 앱 기능 검증을 위해 scope를 변경한 경우
  • Slack Marketplace의 공식 앱이 버전 업데이트 과정에서 권한을 확장한 경우

대응 방안

  • 즉시 확인
    • app 및 확장된 권한 목록(new_scopes)을 확인하고, 해당 권한이 앱의 정상 기능에 필요한지 검증합니다.
    • 권한 확장을 수행한 사용자(user_name)에게 승인 여부 및 업무 목적을 확인합니다.
    • 앱 개발사/배포자 정보와 앱의 검증 상태(verified 여부, 내부 개발 앱 여부)를 확인합니다.
  • 위험도 평가 및 차단
    • 민감 scope(admin.*, history, files, users 관련)가 포함되거나 목적이 불명확하면 즉시 앱 권한을 회수하거나 앱을 제거하고 토큰을 무효화합니다.
    • 동일 사용자의 계정 탈취 가능성을 고려하여 세션 강제 종료, 비밀번호 변경, MFA 재등록 또는 SSO 강제 재인증을 수행합니다.
  • 추가 헌팅
    • 권한 확장 직후 앱을 통한 데이터 접근 흔적(메시지 조회, 파일 접근/다운로드, 채널 참여, 외부 공유)을 확인합니다.
    • 동일 사용자/동일 IP에서 직전 로그인 실패(user_login_failed), 비정상 로그인, 앱 설치(app_installed), 토큰 보존(app_token_preserved), 감사 로그 검색(audit_logs_records_searched) 등의 연계 이벤트를 상관 분석합니다.
    • new_scopes에 포함된 권한이 조직 정책상 허용 범위를 초과하는지 점검합니다.

MITRE ATT&CK