AI 기반 슬랙 도구, 사용자 데이터 유출 위험 경고
최근 사이버 보안 연구팀이 슬랙(Slack)용 인공지능(AI) 도구가 사용자 데이터를 유출하고 있다는 사실을 발견했다고 해요. 이 도구는 채팅 메시지를 포함한 개인적인 사용자 정보를 노출하고 있어 주의가 필요해 보여요.
문제의 도구, Struct Chat
문제가 된 도구는 ‘Struct Chat’이라는 이름으로, 슬랙 내 생산성 향상을 목표로 개발되었다고 해요. 이 도구는 스레드 정리 및 요약, 질문 응답, 뉴스레터 생성 등의 기능을 제공하며, 월 29.95달러에 이용할 수 있다고 합니다.
데이터 유출 경로
2024년 10월 중순, 사이버 보안 연구팀은 “회사 소유의 보호되지 않은 웹 서비스”에서 사용자 데이터가 스트리밍되는 것을 발견했다고 해요. 노출된 인스턴스는 실시간 분산 메시지 스트리밍 플랫폼인 아파치 카프카 브로커(Apache Kafka Broker)였다고 합니다. 이 플랫폼은 여러 애플리케이션 간 데이터 이동의 중심 허브 역할을 하며, 대량의 데이터를 처리하기 때문에 공격 대상이 되기 쉽다고 하네요.
유출된 정보
연구팀은 데이터 스트림을 관찰하는 동안 깃랩 커밋(GitLab commits), 슬랙 허들 대화(Slack Huddle conversations) 및 다른 서비스의 데이터를 발견했다고 해요. 이러한 정보 노출로 인해 공격자는 메시지 및 기타 이벤트를 실시간으로 추적하고, 회사 및 개인 정보를 제약 없이 추출할 수 있다고 합니다.
유출된 정보 목록은 다음과 같아요.
- 토큰, ID, 이름
- 이메일 주소
- 다른 사용자 및 봇 AI와의 대화, 타임스탬프
- 내부 팀 이름 및 기타 일반 정보
- 이벤트 데이터 및 유형 (예: 사용자 슬랙 프로필 업데이트)
- 파이프라인 링크, 내부 URL, CD/CI (지속적 통합 및 지속적 배포) 상태
개발사의 미흡한 대응
Struct Chat 개발사에 여러 차례 이러한 문제점을 알렸지만, 1월 27일 현재까지도 데이터 유출 문제가 해결되지 않았다고 해요. 연구팀은 한 시간 동안 보호되지 않은 인스턴스에서 200개 회사의 1,000명 이상의 고유 사용자 데이터가 전송되는 것을 확인했다고 합니다. 이러한 유출은 이름, 이메일 주소, 채팅 및 기타 내부 커뮤니케이션, 다양한 내부 링크 및 리소스와 같은 개인 식별 정보를 수집하는 데 쉽게 악용될 수 있다고 경고하고 있어요.
사용자 주의 당부
사이버 보안 연구팀은 모든 사용자에게 주의를 기울이고 적절한 조치를 취할 것을 촉구하고 있어요. 개인 정보 유출에 대한 우려가 커지고 있는 만큼, 사용자 스스로도 보안에 더욱 신경 써야 할 것 같아요.