슬랙 소유자 이전
Slack 감사 로그에서 슬랙 소유자 이전 이벤트 발생 시 탐지합니다.
쿼리
event_name 필드의 값이 owner_transferred 와 일치하는 로그를 추출하고, entity.user.name 값을 target_user 필드로 추출합니다.
| search event_name == "owner_transferred"
| eval target_user = valueof(valueof(entity, "user"), "name")
메시지
- 슬랙 소유자 이전: 도메인 $context_domain ($user_name ➜ $target_user)
출력 필드 순서
- _log_time, src_ip, context_type, context_name, user, user_name, user_email, event_name, entity, user_agent
위협 분석
- Slack 워크스페이스의 소유자(Owner) 권한은 최상위 관리 권한으로, 소유자 이전(
owner_transferred)은 워크스페이스에 대한 완전한 통제권 이전을 의미합니다. - 공격자가 탈취한 관리자/오너 계정을 이용해 소유자를 자신 또는 공모자 계정으로 이전할 경우, 지속성(Persistence)과 권한 상승(Privilege Escalation)을 동시에 달성할 수 있습니다.
- 소유자 권한을 확보하면 보안 설정 변경(SSO/MFA 정책 변경), 감사로그 접근, 앱 설치/승인, 사용자/권한 관리, 데이터 접근 범위 확대 등이 가능해져, 이후 방어 우회(Defense Evasion) 및 데이터 유출(Exfiltration) 로 이어질 위험이 큽니다.
- 정상적인 관리자 활동으로도 발생할 수 있으나, 보통 빈도가 낮고 영향도가 매우 큰 이벤트이므로 고위험(High Severity) 이벤트로 분류하여 관리해야 합니다.
오탐 유형
- 조직 구조 변경(부서 통합/분리, 책임자 변경 등)으로 인한 정상적인 소유자 교체
- 기존 소유자의 퇴사/직무 변경에 따른 관리 권한 이관 절차
- MSP/외주 운영 조직이 워크스페이스 운영을 맡으며 소유자를 변경하는 경우
- 신규 워크스페이스 생성 후 초기 세팅 과정에서 소유자 이전이 발생하는 경우
- 테스트/파일럿 워크스페이스에서 관리 절차 점검 목적으로 발생하는 경우
대응 방안
- 즉시 확인
- 소유자 이전 수행자(
user_name)와 대상(target_user)이 조직의 승인된 운영 담당자인지 확인합니다. - 변경 사유(티켓/결재/승인 기록 등)를 확인하고, 정상 절차 여부를 검증합니다.
- 소유자 이전 수행자(
- 의심 시 긴급 조치
- 승인되지 않은 소유자 이전으로 판단되면 즉시 소유자 권한 원복 및 추가 관리자 권한 회수 조치를 수행합니다.
- 해당 계정(이전 수행자 및 대상)에 대해 세션 강제 종료, 비밀번호 변경, MFA 재등록, SSO/IdP 로그 검토를 수행합니다.
- 추가 헌팅
- 동일 사용자/IP 기준으로 직전의 로그인 실패(
user_login_failed), 비정상 로그인, MFA/SSO 설정 변경, 역할/권한 변경(permissions_assigned,role_change_to_owner), 앱 설치/스코프 확장(app_installed,app_scopes_expanded), 감사로그 조회(audit_logs_records_searched) 등 연계 이벤트를 상관 분석합니다.
- 동일 사용자/IP 기준으로 직전의 로그인 실패(
- 예방
- 소유자 변경은 다중 승인(2인 승인) 또는 변경 요청 티켓 기반 승인을 필수화합니다.
- 소유자 계정에 대해 강제 MFA, SSO 연동, 관리자 계정 최소화, 특권 계정 분리 운영(PAM)을 적용합니다.
MITRE ATT&CK
- 전술
- Persistence, Privilege Escalation
- 기법
- 이름: Account Manipulation
- ID: T1098
- 참조 URL: https://attack.mitre.org/techniques/T1098/