슬랙

구독
다운로드 125
업데이트 2025. 12. 25.

슬랙 로그인 IP 주소 변경

Slack 감사 로그에서 최근 6개월 간 이력이 없는 IP 주소에서 슬랙 로그인 이벤트 발생 시 탐지합니다.

쿼리

event_name 필드의 값이 user_login 과 일치하는 로그 중에서, 최근 6개월 간 로그인 IP 주소 통계에 해당되는 Slack Login Locations 행위 프로파일에 포함되지 않는 로그를 추출합니다. 부가적으로 IP 주소를 국가 및 통신망으로 변환하여 메시지 생성에 사용합니다.

| search event_name == "user_login"
| matchbehavior guid="d2935dc2-377b-47a2-b6b6-faa00ad4e3ff" invert=t verify=f
| lookup geoip src_ip output country as src_country, asn as src_asn

메시지

  • 슬랙 로그인 IP 주소 변경: 사용자 $user_name, 통신망 $src_asn

출력 필드 순서

  • _time, context_id, context_domain, user, user_name, user_email, src_ip, src_country, src_asn, user_agent

위협 분석

  • 공격자는 탈취한 Slack 계정(또는 SSO 계정)을 이용해 워크스페이스에 로그인하며, 특히 기존에 사용 이력이 없는 IP 주소에서의 로그인 시도는 계정 탈취, 크리덴셜 스터핑, 피싱, 세션 하이재킹 등의 Initial Access 징후일 수 있습니다.
  • 정상 사용자라면 대체로 일정한 네트워크(회사/가정/모바일) 범위에서 접속하는 경향이 있으므로, 최근 6개월 간 이력이 없는 IP에서의 로그인은 행동 기반 이상징후(Behavior Anomaly)로 탐지 가치가 높습니다.
  • 공격자는 성공적으로 로그인한 뒤 계정 권한을 이용해 권한 상승(Privilege Escalation), 지속성(Persistence) 확보(예: 앱 설치/토큰 유지), 방어 우회(Defense Evasion: MFA/SSO 정책 변경 등)로 이어질 수 있습니다.
  • 특히 ASN(통신망)이 클라우드/호스팅/익명화(VPN, 프록시, Tor exit)로 분류되는 경우, 또는 국가가 평소 사용자 접속 국가와 다를 경우 위험도가 급격히 상승합니다.

오탐 유형

  • 재택/출장/해외 근무 등으로 인해 사용자가 새로운 지역/국가에서 접속한 경우
  • 통신사 IP 변경(모바일 데이터, 가정용 ISP의 동적 IP, VPN 사용)으로 인해 새로운 IP가 할당된 경우
  • 기업 VPN/프록시/보안 게이트웨이 변경 또는 신규 도입으로 인해 공인 IP 주소가 변경된 경우
  • SSO 연동 변경 또는 IdP 정책에 따라 로그인 트래픽이 다른 IP 대역을 경유하게 된 경우
  • 신규 입사자/새 디바이스 사용으로 인해 기존 프로파일에 데이터가 부족한 경우
  • 보안 점검/모의훈련(레드팀/펜테스트) 과정에서 테스트 계정으로 발생한 경우

대응 방안

  • 즉시 확인
    • 사용자(user_name)에게 해당 로그인 시도가 본인 행위인지 확인하고, 접속 위치/디바이스/네트워크 환경(출장, VPN 사용 여부)을 확인합니다.
    • src_country, src_asn이 사용자 평소 패턴과 일치하는지 확인합니다. 특히 클라우드/호스팅 ASN 여부를 확인합니다.
  • 의심 시 조치
    • 의심 로그인으로 판단되면 즉시 세션 강제 종료, 비밀번호 변경, MFA 재등록 또는 SSO 측 강제 재인증을 수행합니다.
    • 동일 계정에 대해 최근 로그인 실패(user_login_failed), 비밀번호 재설정 요청(user_password_reset_requested), MFA/SSO 설정 변경, 역할/권한 변경, 앱 설치/스코프 확장 등 연계 이벤트를 상관 분석합니다.
  • 추가 헌팅
    • 동일 src_ip 또는 동일 ASN에서 다른 사용자 계정으로도 로그인 시도가 있었는지 확인하여 크리덴셜 스터핑/대량 계정 공격 여부를 점검합니다.
    • 해당 로그인 이후 짧은 시간 내 발생한 파일 다운로드/외부 공유, Slack Connect 설정 변경, 감사 로그 검색 등 고위험 행위를 추적합니다.

MITRE ATT&CK