본문 바로가기 주메뉴 바로가기 검색 바로가기
구글 문서 사기, 여전히 위협 일으켜
상태바
구글 문서 사기, 여전히 위협 일으켜
2017년 발견된 웜이 인터넷 전체에 걸쳐 대대적인 피해를 일으켰다. 어느 한 연구원이 새로운 보호 조치가 적용된 지금도 같은 문제가 발생할 수 있다는 사실을 경고했다.
By LILY HAY NEWMAN, WIRED US

2017년 5월, ‘구글 문서 웜(Google Docs worm)’이라는 이름으로 알려진 피싱 공격이 인터넷 전반으로 확산됐다. 특수 웹 애플리케이션을 이용해 구글 문서로 위장하고는 지메일 계정의 이메일과 주소록에 깊이 접근할 권한을 요청했다. 구글 문서 웜 피싱 공격은 피해자가 알고 지내는 이들에게 접근 요청을 보냈기 때문에 공격 성공률이 매우 높았다. 피해자의 지메일 접근 권한을 얻은 후에는 피해자의 메일 주소록을 기반으로 같은 사기성 메일을 전송해, 결과적으로 웜을 발생시킨다. 결과적으로 당시 피싱 공격은 구글이 퇴치하기 전까지 100만 개가 넘는 계정에 피해를 주었다. 그러나 새로운 연구를 통해 구글의 피싱 공격 퇴치 조치가 충분하지 않았다는 사실이 드러났다. 악성 메일 유포를 통한 또 다른 구글 문서 사기가 언제든지 다시 발생할 수 있기 때문이다.

개인 보안 연구원 매튜 브라이언트(Matthew Bryant)에 따르면, 구글 워크스페이스 피싱과 사기는 주로 합법적인 기능을 조작하고는 서비스가 심각한 피해를 겪도록 한다. 피해자 상당수가 구글 서비스를 신뢰하므로 해커의 공격 대상이 될 위험성이 더 크다. 공격 전략은 바이러스 방지 툴이나 다른 보안 스캐너의 범위 밖에서 대대적인 활동을 하기도 한다. 웹 기반 공격이면서 합법적인 기반시설을 조작하기 때문이다.

2021년 8월 초 열린 데프콘 보안 콘퍼런스에서 공개된 연구를 통해 브라이언트는 해커가 우회 능력을 악용해 구글이 과거에 강화한 워크스페이스 보호 작업에 지장을 줄 수 있다는 사실을 발견했다. 구글 워크스페이스의 피싱 공격 위험은 단순히 이론상으로만 존재하는 것이 아니다. 최근 발생한 여러 차례의 사기 범죄가 실제 구글 워크스페이스 알림을 조작한 접근방식과 피해자의 접속을 유도할 만한 합법적으로 보이는 피싱 링크나 페이지를 생성한 것과 똑같은 특징을 지녔다.

브라이언트는 모든 문제가 워크스페이스의 개념 설계 때문에 발생한 것이라고 주장한다. 융통성과 맞춤 변경 능력을 갖춘 채로 파일을 공유할 수 있도록 플랫폼을 구성한 똑같은 기능은 악용 가능성일 제공하기도 한다. 현재 구글 워크스페이스 사용자 수가 26억 명 이상인 상황에서 또 다른 피싱 공격 발생 위험성이 높다.

브라이언트는 “구글 워크스페이스 설계는 처음부터 여러 문제가 있으며, 모든 보안 문제가 지금까지 발견된 것과 같이 수정할 수 없는 여러 보안 문제를 일으킨다. 상당수 보안 문제는 단 한 차례의 결함 수정만으로 마법과 같이 해결할 수는 없다. 구글은 문제를 해결하기 위해 노력했으나 구글 문서의 보안 위험은 특수 설계 결정 때문에 발생한다. 결정적인 문제 개선 과정에는 잠재적으로 서비스를 재구성해야 할 수도 있는 고통스러운 과정이 포함될 것이다”라고 말했다.
 
[사진=Pixabay]
[사진=Pixabay]

2017년 발생한 피싱 공격 이후 구글은 구글 워크스페이스와 인터페이스할 능력을 갖춘 앱, 그중 특히 이메일이나 주소록 등 민감한 정보에 대한 각종 접근 요청을 하는 앱을 대상으로 제한을 강화했다. 개인은 ‘앱스 스크립트(Apps Script)’를 사용할 수 있으나 구글은 주로 앱스 스크립트를 지원해 기업 사용자가 맞춤 설정하여 사용하면서 워크스페이스의 기능을 확장하도록 한다. 강화한 보호 능력을 적용한 상태에서 앱 사용자 수가 100명을 넘는다면, 개발자는 엄격하기로 악명 높은 검토 과정을 위해 구글에 이를 제출해야 한다. 이후, 검토 과정을 통과해야 배포할 수 있다. 반대로 사용자 수가 100명 미만이면서 검토 과정을 거치지 않은 앱을 사용한다면, 워크스페이스는 사용자가 계속 사용하는 것을 권고하지 않는 상세 경고 화면을 보여줄 것이다.

브라이언트는 사이버 공격 보호 조치를 적용해도 보안 허점이 존재한다는 사실을 발견했다. 규모가 작은 웹 앱은 구글 워크스페이스 사용자 중 누군가에게 첨부 문서 하나를 받을 때 별도의 경고를 보내지 않은 채로 실행된다. 이는 엄격한 경고와 위험 알림 때문에 불편함을 겪지 않아도 될 정도로 사용자가 동료를 신뢰한다는 개념에서 비롯되었다. 경고가 없는 문서 실행은 사이버 공격 개시 경로를 개방하는 것과 다를 바 없다.
 
“구글 워크스페이스 설계는 처음부터 여러 문제가 있으며, 모든 보안 문제가 지금까지 발견된 것과 같이 수정할 수 없는 여러 보안 문제를 일으킨다.”
보안 연구원 매튜 브라이언트

일례로 브라이언트는 접근 권한을 요청하는 앱이 첨부된 구글 문서 링크를 공유하고는 URL의 마지막 부분을 변경해 ‘사본’이라는 단어를 추가하면, 링크를 열어본 사용자가 ‘사본 문서’의 링크를 보게 된다는 사실을 확인했다. 탭을 닫을 수 있지만, 사용자가 문서를 원본 문서라고 생각한 상태에서 사본을 통해 문서를 클릭하면 해당 문서의 생성자이자 사본 문서 소유자가 된다. 그리고, 사본 문서 생성자도 문서에 내장된 접근 권한 요청 앱의 ‘개발자’로 이름을 올리게 된다. 따라서 앱에서 구글 계정 데이터 실행과 접근 권한 확보 허가 요청을 할 때, 공격 피해자는 이메일 주소만 보게 될 뿐 별도의 경고는 첨부되지 않는다.

앱의 모든 구성 요소가 문서의 내용을 복사하는 것은 아니다. 그러나 브라이언트는 이를 우회할 방법도 찾아냈다. 해커는 구글 워크스페이스의 작업 자동화 매크로 버전의 상실한 요소를 구축할 수 있다. 마이크로소프트 오피스에서 종종 악용 사례를 발견할 수 있는 매크로와 매우 유사하다. 궁극적으로 해커는 구글 워크스페이스를 공유하는 집단의 개인이 악성 앱을 소유하고 각종 중요한 정보 접근 권한을 허용해, 별도의 경고 없이 같은 기관 소속 타인의 계정 접근 권한을 요청할 수 있다.

구글 대변인은 와이어드에 “구글 워크스페이스의 위험 요소를 확인하고 보고한 연구 작업을 제공한 사실에 매우 감사하다. 구글은 새로 발표된 연구 내용을 기반으로 제품 보안을 추가로 개선할 적극적인 노력을 펼칠 것”이라고 말했다.

브라이언트는 워크스페이스 앱 제한의 추가 변종 공격과 대체 경로도 찾아냈다. 사본 실행 사례와 같이 워크스페이스가 간혹 속임수를 통해 구글 워크스페이스 앱 개발자를 문서 소유자를 혼동하도록 유도해, 의도와 다른 문제가 발생할 수도 있다. 해커가 공격 대상이 된 조직 구성원이 생성한 문서 편집 권한을 얻게 된다면, 내부 계정에서 만든 앱의 권한과 신뢰를 모두 갖는 앱스 스크립트를 제작할 수 있다.

브라이언트는 구글 문서 관련 정보 노출이 구글 워크스페이스의 특정 버그가 아니라는 사실을 강조했다. 이어, 구글 문서 피싱이 추가로 발생할 가능성을 두고 크게 우려할 필요는 없다고 덧붙여 전했다. 일반적인 기기에 다음과 같은 사항을 적용해 문제를 예방할 수 있다. 사용자가 예상한 문서를 열고, 특정 문서 전송 이유를 알 수 없다면 의도적으로 링크를 전송한 이가 있는지 확인하면 된다.

그러나 이번 피싱 발생 위험성 발견 사실은 융통성을 위해 구축돼, 쉽게 사용할 수 있는 보편적인 플랫폼 악용 문제를 최소화하는 것이 어렵다는 사실을 부각한다. 구글 문서와 같이 유해하지 않은 파일도 신속한 공격이 이루어지는 플랫폼이 돼, 수십억 명이 결과적으로 공격에 노출될 수도 있다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Google Docs Scams Still Pose a Threat
이 기사를 공유합니다
RECOMMENDED