MENU
CISO News HOME > CISO News > 최신뉴스

최신뉴스


구글 서비스, 데이터 탈취하려는 해커들에게도 널리 사랑받아 2020.11.20  

구글 폼즈, 구글 독스, 구글 사이트, 파이어베이스 등...쉬운 악성 페이지 호스팅 가능
구글이 가진 높은 신뢰도 악용하는 것...피해자들의 디지털 워크플로우 침해하는 것이 본질


[보안뉴스 문가용 기자] 사이버 공격자들이 구글 서비스를 공격에 적극 악용하기 시작했다는 경고가 나왔다. 보안 업체 아모블록스(Armorblox)가 발표한 바에 의하면 구글 폼즈(Google Forms), 구글 독스(Google Docs), 구글 사이트(Google Site), 파이어베이스(Firebase)와 같은 서비스들이 특히 공격자들 사이에서 선호된다고 한다.

[이미지 = utoimage]


“구글이 이런 서비스들을 무료로 제공하는 건 애플리케이션 개발을 쉽게 만들기 위함입니다.” 아모블록스의 공동 창립자인 아르준 삼바무어티(Arjun Sambamoorthy)의 설명이다. “애플리케이션을 쉽게 만들 수 있다는 게 핵심이죠. 해커들로서는 이런 편리한 도구들이 있으니 공격용 사이트를 따로 호스팅 할 필요가 없습니다. 심지어 구글 서비스로 뭔가를 만드는 거라 보안 솔루션을 회피하기도 좋고요.”

구글이 출처인 서비스들은 거의 대부분 신뢰를 받는다. 대부분의 보안 솔루션들도 구글 서비스들을 신뢰한다. 해커들이 구글 서비스를 공격에 활용하는 것도 바로 이러한 점 때문이다. 이미 다양한 방법들이 해커들 사이에 공유되고 있다. “하지만 대부분 데이터를 훔쳐내는 것을 목적으로 하고 있습니다. 또한 고급 공격자들보다는 소규모 공격 단체들이 주로 구글을 활용하려는 경향을 보입니다.” 삼바무어티의 설명이다.

공격 사례들
한 번은 공격자들이 아메리칸 엑스프레스(American Express)를 사칭하여 신용카드 인증 요청 메일을 전송한 적이 있었다. 이 이메일에는 링크가 첨부되어 있었고, 이를 클릭하여 인증에 필요한 정보를 입력하라고 공격자들은 피해자들을 꼬드겼다. 이 악성 페이지는 구글 폼즈라는 서비스에 호스팅 되어 있었고, 문서는 제대로 된 아메리칸 엑스프레스의 로고까지도 포함하고 있었다. 이미 구글 폼즈라는 서비스를 본 순간 피해자들은 경계심을 내려놓았다.

또 다른 해킹 단체는 한 기업의 보안 팀을 사칭해 피해자들에게 이메일을 보냈다. 스토리지 분할 문제가 생겨 사용자들로부터 추가 정보가 필요하다는 긴급 메일이었다. 이 이메일에도 링크가 하나 첨부되어 있었고, 피해자들은 이를 눌러 이메일 주소와 같은 개인정보를 입력했다. 이 악성 페이지는 파이어베이스(Firebase)라는 서비스에 호스팅 되어 있었다.

이 두 가지 경우, 공격자들이 보내준 링크를 클릭하면 여러 사이트와 페이지를 우회하고 또 우회하여 최종 페이지에 도달하게 된다. 또한 자동 채우기 기능도 적용되어 있는데, 삼바무어티는 “사용자들은 자동 채우기 기능을 보면 뭔가 안심하려는 경향을 가지고 있다”고 설명했다. 구글 서비스에, 자동 채우기 기능까지 있으니 사람들이 쉽게 신뢰를 준다는 것이다. 또한 여러 페이지와 사이트를 거쳐서 랜딩 페이지에 도달하는 건, 추적을 어렵게 하기 위함이라고 한다.

공격자들이 애용하는 구글 독스는 많은 사람들이 매일처럼 사용하는 애플리케이션으로 자리를 잡고 있다. 공격자들은 이런 익숙함을 노리고 악성 급여 명세서를 구글 독스에 호스팅 해 피해자들에게 전송하기도 했다. 당연히 기업의 재무부 혹은 총무부서를 사칭하고 있었다. 심지어 급여 명세서를 받는 사람의 이름까지도 제목에 적혀 있었다. 이 이메일에는 ‘급여 발송 전 긴급히 확인해야 할 사항이 있다’는 내용이 포함되어 있었다. 개인정보 입력을 유도하는 것이었다.

구글 사이트(Google Sites) 서비스를 악용한 사례도 있다. 마이크로소프트 팀즈와 비슷하게 생긴 피싱 페이지를 제작한 공격자들이, 이를 구글 사이트에 호스팅 하여 피해자들을 유도한 것이었다. 여기서도 피해자들은 팀즈 로그인 정보를 입력하여 정보를 공격자들의 손에 넘겼다.

직원 훈련과 범죄 탐지
삼바무어티는 “기업이 구글 서비스에 문서를 호스팅 해서 여러 정보를 직접 기입하라고 고객들에게 요구하는 경우는 없다”고 강조한다. “이걸 반드시 기억해야 합니다. 기업이 고객의 개인정보를 요청할 때 이렇게 누구에게나 열린 타회사의 서비스를 활용하는 경우는 없다는 걸 기억하는 게 중요합니다. 그래야 이런 시도가 수상하다는 걸 본능적으로 느낄 수 있으니까요. 수상하다고 느껴야 옆 자리에 있는 동료에게 물어 확인해볼 수 있습니다.”

아모블록스의 제품 마케팅 책임자인 아비셱 아이어(Abhishek Iyer)는 “디지털 환경의 워크플로우 안에 자연스럽게 녹아들어가려고 하는 것이 이러한 시도의 핵심”이라고 강조했다. 즉 누구나 자신의 워크플로우를 검토하고 인지해 정상적인 상황과 비정상적인 상황을 구분할 수 있어야 한다는 것이다.

아이어와 삼바무어티는 “다중인증 체제를 구축하는 것이 효과적”이라는 입장이다. “그럴 경우 공격자들이 특정 직원의 크리덴셜을 성공적으로 훔쳐갔다고 해도 더 큰 피해를 일으킬 수 없게 됩니다. 지금은 해커들이 사용자 이름과 비밀번호를 훔쳐가는 데에 집중하고 있어요. 여기에 생체 인증 하나만 더 추가해도 공격자들 입장에서는 이 정보의 활용 가치가 낮아집니다.”

3줄 요약
1. 누구에게나 신뢰받는 브랜드, 구글, 공격자들도 애용.
2. 특히 무료로 제공되다시피 하는 간편 서비스들 적극 활용해 데이터 훔침.
3. 기업들이 구글 서비스를 통해 개인정보 요구하는 경우는 없다는 걸 기억해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




COPYRIGHT CISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보처리방침