해커들이 새로운 피싱 수법을 발견했다. 바로 구글 드라이브를 이용한 피싱이다. 구글 드라이브에서 드러난 결함이 구글이 정상적인 메일과 푸시 알림을 보낸 것처럼 위장하는 데 악용됐다. 해커들이 보낸 메일과 알림을 열었을 때, 악성 웹사이트로 연결된다. 구글 드라이브를 이용한 피싱과 같은 방식의 수법 자체는 이전에도 발견됐다. 특히, 의심스러운 링크로 클릭을 유도하는 메시지는 인터넷이 사용된 시기만큼 오래됐다. 그런데도 이번 구글 드라이브 피싱은 많은 사람들을 놀라게 할 수 있다.
구글 드라이브 피싱에서 가장 교묘한 부분은 구글이 직접 발송한 것과 같은 이메일과 알림을 생성한다는 점이다. 모바일 환경에서는 구글 드라이브의 공동 작업 기능을 악용해, 사용자에게 구글 문서를 함께 작업하도록 초대하는 푸시 알림을 생성한다. 사용자가 알림을 선택하면 바로 사용자를 유혹하는 막대한 양의 링크가 담긴 문서로 직접 연결된다. 피싱 과정에서 생성된 구글의 이메일 알림에도 악성 코드가 포함됐을 가능성이 있는 링크가 담겨 있다. 그동안 지메일에서 제법 훌륭하게 걸러냈던 일반 스팸과 다른 점이 있다. 바로 구글 드라이브의 피싱 메일과 알림을 사용자를 인박스에 추가한다는 점이다. 그리고 구글이 전송한 정상적인 레이어도 추가한다.
성공적인 이메일 스팸 필터 때문에 해커들은 다른 사용자들이 악성 링크로 접속할 수 있는 새로운 수법을 찾아 나섰다. 구글 드라이브가 매우 적합한 수단으로 떠오르고 있다. 디폴트에서부터 구글 드라이브는 사용자에게 타인이 문서에서 사용자를 언급했을 경우, 이를 알리고자 한다. 작업 설정에서 동료 등 타인이 새로운 작업을 위해 프리젠테이션 슬라이드를 확인하거나 요약하도록 요청할 수 있다. 해커들에게는 악성코드를 잠재적인 피해자에게 바로 심어둘 수 있는 매우 교묘한 수법이다.
[사진=Unsplash]
해커들은 대규모 지메일 계정 명단을 지속적으로 악용하며, 최근 수 주간 이와 비슷한 피해를 본 사례가 보고됐다. 와이어드 측이 받은 피싱 알림 중 하나는 러시아인 이름으로 생성된 지메일 계정으로 생성된 구글 슬라이드 문서였다. 문서의 편집 이력을 통해 해당 문서가 다른 문서에서 복사됐으며, 계속 편집됐다는 점을 확인할 수 있었다. 이는 해커들이 피싱에 사용할 문서를 복사하며 더 많은 피해자를 찾는다는 점을 시사한다. 와이어드가 피싱 문서와 관련이 있는 지메일 주소로 메일을 보냈으나 답변을 받지 못했다. 와이어드가 받은 피싱 문서는 구글의 이용 약관을 위반했다는 이유로 삭제됐다.
피싱 대상이 된 사용자는 러시아어나 문법이 엉망인 영어로 작성된 구글 드라이브 알림과 메일을 받는다. 그리고는 이상한 이름의 문서 공동 작업 요청을 받는다. 이러한 문서에는 항상 스캠 웹사이트 링크가 포함됐다. 비교적 최근인 10월 26일 자로 등록된 어느 한 스캠 웹사이트는 거래 및 경품 추첨 알림과 링크 클릭 요청을 통해 사용자에게 사이버 공격을 개시했다. 다양한 유형의 스캠이 많은 사용자들에게 링크를 클릭해 은행 계좌나 잔고를 확인하도록 유도한다.
교묘한 수법은 아니지만, 악성 링크를 사용자의 인박스나 모바일 기기에 심는 효율적인 수단이다. 트위터 계정 @JCyberSec을 운영 중인 개인 사이버 보안 전문가인 제이크(Jake)는 "항상 악성 링크 전달이 어려운 일"이라고 설명한다. 그는 5년간 피싱 수법을 추적했으며, 최근 구글 드라이브 피싱 공격 대상이 됐다. 그는 "이메일은 시스템에서 면밀하게 감시 및 스캔되기 때문에 대규모 스팸 메일은 사용자에게 전송되기 전에 삭제된다"고 말한다. 반면, 구글 드라이브는 메일과 같은 스팸 보호 서비스를 제공하지 않는다. 이 때문에 그는 "해커들은 항상 공격을 개시할 새로운 수법을 찾고자 한다"고 전한다. 모바일 환경에서 피싱 수법이 특히 효과적이다. 제이크는 "보안 통제가 상대적으로 적다는 이유로 모바일 대상 피싱 공격이 급격히 증가하고 있다"고 덧붙여 전했다.
구글 대변인은 구글 드라이브를 이용한 신종 피싱 공격을 감지하고 확산을 중단시킬 수 있는 조치를 취했다고 밝혔다. 그러나 구글의 보안 조치가 100% 효율적인 것은 아니다. 구글 대변인은 구글 드라이브 스팸이 시스템의 감시를 피하기 어려워지도록 조치를 취하겠다는 점도 함께 발표했다. 스팸 공격을 당한 사용자는 누구나 구글 지원 페이지를 통해 구글 측에 피해 사실을 알릴 수 있다.
러시아 사이버 보안 업체 카퍼스키(Kaspersky) 소속 최고 보안 연구원인 데이비드 엠(David Emm)은 "알림이 정상적인 메일 계정을 통해 생성된 경우, 스팸을 감지하기 어렵다. 이러한 알림은 생성하기 쉽다"고 말한다. 이어, 그는 모든 피싱 스캠과 함께 가장 중요한 점은 링크를 클릭하기 전 한 번 더 생각하는 것이라고 덧붙였다. 그는 "정체를 알 수 없는 소스에서 전송된 신뢰할 수 없는 링크는 클릭하면 안 된다. 알림을 받을 일이 없고 알림 발송자의 정체를 모른다면, 어떠한 반응도 보이지 말아야 한다"라고 강조한다.
사용자들을 속여 악성 링크를 클릭하도록 만드는 신종 수법은 구글 캘린더에 삽입된 피싱 링크와 비슷하다. 이러한 면에서 해커들은 악성 링크가 포함된 자신의 이벤트를 추가할 수 있다는 구글 캘린더 설정의 결점을 악용할 수 있다는 점을 깨닫고 있는 것으로 보인다. 구글 드라이브 피싱과 마찬가지로 캘린더 스캠에서 생성된 이메일과 알림도 발신자가 구글이다.
구글 커뮤니티 포럼과 SNS에 작성된 게시글은 최근 수 주간 구글 드라이브 피싱 공격이 급격히 증가했음을 시사한다. 일부 사용자는 신뢰할 수 없는 문서 공동 작업 요청 알림을 여러 차례 받았다며 불평했다. 현재 구글에 신고된 문서 다수가 구글의 이용 약관 위반 때문에 삭제된 것으로 보인다.
![[사진=Unsplash]](/news/photo/202011/2462_3478_1931.jpeg)
뉴스레터 신청