Slack 보안 설정 가이드: 업무 대화를 안전하게 보호하는 방법
Slack 워크스페이스 보안 완벽 가이드. DM과 채널의 보안 차이, 외부 공유 위험, 2FA 설정, 관리자 제어, Slack에서 절대 공유하면 안 되는 정보까지 정리했습니다.
Slack 보안 설정 가이드: 업무 대화를 안전하게 보호하는 방법
카카오워크, Slack, 팀즈 등 업무용 메신저 없이는 일할 수 없는 시대입니다. 특히 Slack은 국내에서도 IT 기업과 스타트업을 중심으로 빠르게 확산되고 있죠. 하지만 편리한 만큼 보안 위험도 커집니다. 민감한 회사 정보, 고객 데이터, 개인정보가 매일 Slack을 통해 오갑니다.
설정 하나만 잘못해도 회사 기밀이 유출될 수 있습니다. 지금 바로 점검해보세요.
DM vs 채널: 보안 차이를 이해하세요
많은 분들이 Slack DM이 완전히 비공개라고 생각합니다. 하지만 그렇지 않습니다.
| 기능 | DM | 채널 |
|---|---|---|
| 관리자가 열람 가능? | 유료 플랜에서 가능 (컴플라이언스 내보내기) | 가능 |
| 다른 사람이 검색 가능? | 불가능 | 공개 채널: 가능 |
| 퇴사 후에도 남아있음? | 예 | 예 |
| 내보내기 가능? | Enterprise Grid: 가능 | 가능 (모든 플랜) |
핵심: Slack의 모든 메시지(DM 포함)는 회사 관리자가 열람할 수 있습니다. 회사 이메일에 쓰지 않을 내용이라면, Slack에도 쓰지 마세요.
외부 공유의 숨겨진 위험
Slack Connect를 통해 외부 파트너와 협업할 수 있지만, 여러 보안 사각지대가 생깁니다.
1. 외부 공유 채널의 위험
외부 파트너가 참여한 채널에서는 대화 기록, 업로드된 파일, 고정된 문서가 모두 보입니다. 실수로 내부 문서를 잘못된 채널에 공유하면 외부인에게 바로 노출됩니다.
2. 만료 없는 파일 공유
Slack에 업로드된 파일은 기본적으로 만료되지 않습니다. 6개월 전에 공유한 계약서 PDF? 채널에 있는 모든 사람이 여전히 다운로드할 수 있습니다.
3. 방치된 게스트 계정
외부 게스트 계정은 시간이 지나면 쌓입니다. 2024년에 프로젝트했던 외주 개발자가 아직도 워크스페이스에 접근할 수 있을지 모릅니다.
해결책: 분기마다 외부 멤버와 게스트 계정을 점검하세요.
2단계 인증(2FA) 설정하기
워크스페이스에서 2FA를 강제하지 않으면, 비밀번호 하나 유출로 전체가 위험해집니다.
개인 2FA 설정 방법
- 프로필 → 계정 설정으로 이동
- 2단계 인증 → 2단계 인증 설정 클릭
- 인증 앱(권장) 또는 SMS 선택
- 백업 코드를 안전한 곳에 저장
관리자: 2FA 강제 적용
설정 및 관리 → 워크스페이스 설정 → 인증에서 모든 멤버에게 2FA를 필수로 설정하세요. 예외 없이.
팁: Slack 2FA 백업 코드를 LOCK.PUB의 비밀번호 보호 메모에 저장해두세요. 카카오톡 나에게 보내기보다 훨씬 안전합니다.
필수 관리자 설정
Slack 관리자라면 워크스페이스 개설 첫날 이 설정들을 확인하세요:
| 설정 | 권장값 | 이유 |
|---|---|---|
| 메시지 보관 기간 | 맞춤 설정 (일반: 90일, 컴플라이언스: 장기) | 침해 시 노출 범위 제한 |
| 외부 파일 공유 | 제한 | 실수로 인한 데이터 유출 방지 |
| 앱 설치 | 관리자 승인 필요 | 무분별한 앱 연동 차단 |
| 이메일 표시 | 외부 사용자에게 숨김 | 피싱 대상 축소 |
| 채널 생성 | 내부: 자유, Slack Connect: 제한 | 정보 무분별한 확산 방지 |
| 세션 유지 기간 | 최대 30일 | 주기적 재인증 강제 |
앱 권한 관리
서드파티 Slack 앱은 주요 공격 경로입니다. 설치하는 모든 봇이나 연동 서비스는 워크스페이스 데이터에 일정 수준의 접근 권한을 가집니다.
- 기존 앱을 분기마다 감사하세요
- 사용하지 않는 연동은 즉시 제거하세요
- 새 앱 설치 시 관리자 승인을 필수로 하세요
- OAuth 권한 범위를 확인하세요 — 단순 투표 앱에 메시지 읽기 권한이 정말 필요한가요?
Slack에서 절대 공유하면 안 되는 것들
보안 의식의 문제입니다. 이런 정보는 Slack 메시지에 절대 적으면 안 됩니다:
- 비밀번호나 API 키 — 비밀번호 관리 도구나 시크릿 저장소를 이용하세요
- 신용카드 번호 — 부분 번호도 안 됩니다
- 주민등록번호 등 신분증 정보 — 암호화된 채널을 통해서만 공유하세요
- 암호화되지 않은 고객 데이터 — 특히 개인정보보호법 적용 대상이라면
- 연봉, 인사 정보 — 공식 인사 시스템을 이용하세요
- 법률 문서 — Slack에서는 비밀유지특권이 보호되지 않습니다
민감한 정보를 안전하게 공유하는 방법
비밀번호나 인증 정보를 Slack에 직접 붙여넣는 대신, 비밀번호로 보호된 링크를 사용하세요. LOCK.PUB에서 이렇게 만들 수 있습니다:
- 민감한 정보를 비밀 메모로 작성
- 비밀번호 설정
- LOCK.PUB 링크를 Slack으로 공유
- 비밀번호는 다른 채널(카카오톡, 전화 등)로 전달
정보가 암호화되어 비밀번호 없이는 접근 불가능합니다. 검색 가능한 Slack 히스토리에 평문으로 남기는 것보다 훨씬 안전하죠.
보안 점검 체크리스트
분기마다 이 항목들을 점검하세요:
- 모든 멤버 2FA 활성화 여부
- 게스트 및 외부 계정 감사 및 정리
- 앱 권한 검토 및 불필요한 연동 제거
- 메시지 보관 정책 적절히 설정
- 민감한 채널의 파일 공유 제한 설정
- 팀원 보안 교육 (Slack에서 공유하면 안 되는 것)
- SSO 설정 (Enterprise 플랜)
Slack 계정이 해킹되었을 때
- 즉시 비밀번호를 변경하고 모든 활성 세션을 해제하세요
- 워크스페이스 관리자에게 알리세요 — 모든 기기 강제 로그아웃 가능
- 연결된 앱 확인 — 모르는 OAuth 토큰은 해제
- 최근 메시지 검토 — 내가 보내지 않은 메시지가 있는지 확인
- 2FA 활성화 (아직 안 했다면)
마무리
Slack은 속도를 위해 설계되었지, 보안을 위해 설계된 게 아닙니다. 기본 설정은 협업 편의성을 우선하기 때문에, 보안은 관리자와 팀원이 직접 챙겨야 합니다.
오늘 15분만 투자해서 워크스페이스 설정을 점검하고, 2FA를 활성화하고, Slack에서 공유하면 안 되는 정보에 대한 가이드라인을 만드세요.
정말 민감한 정보를 동료에게 전달해야 한다면, Slack 대신 비밀번호로 보호된 링크를 사용하세요.
관련 키워드
다른 글도 읽어보세요
클라우드에 올리면 안 되는 파일 5가지
클라우드 스토리지의 편리함 뒤에 숨겨진 보안 위험을 알아보세요. 절대 클라우드에 올리면 안 되는 5가지 파일 유형과 안전한 대안을 소개합니다.
비밀 URL 만드는 법: 나만 공유할 수 있는 숨겨진 링크
비밀번호를 아는 사람만 접근할 수 있는 비밀 URL을 만들어보세요. 숨겨진 링크, 비공개 URL, 비밀 공유 링크를 무료로 생성하는 방법을 알려드립니다.
절대 평문으로 보내면 안 되는 5가지 정보
비밀번호, 카드번호, 주민등록번호... 카카오톡이나 이메일로 평문 전송하면 왜 위험한지, 안전한 대안은 무엇인지 알아보세요.