Home > 전체기사

구글 독스의 ‘주석’ 기능 활용한 새로운 피싱 공격 발견돼

  |  입력 : 2022-01-07 16:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 공격자들은 유명 브랜드를 좋아한다. 유명한 것에 대한 일반 사용자들의 신뢰도가 높기 때문이다. 그래서 구글의 각종 서비스들은 공격에 자주 악용된다. 이번에도 그러한 사건이 벌어졌다.

[보안뉴스 문가용 기자] 구글 독스의 주석(comment) 기능을 악용하여 악성 링크를 유포하는 피싱 캠페인이 발견됐다. 이를 발견한 보안 업체 아바난(Avanan)은 구글이라는 브랜드가 가진 신뢰도를 악용하는 흔한 캠페인 중 하나라며, 앞으로도 계속해서 새로운 공격 기법이 개발되고 발견될 것이라고 밝혔다.

[이미지 = utoimage]


이번에 아바난이 발견한 피싱 공격에서 해커들이 사용하는 기법은 지난 해 12월부터 목격된 것으로, 주로 아웃룩 사용자들을 노리고 있다고 한다. 공격자들은 100여개의 고유 지메일 계정을 사용해 공격을 실시하고 있으며, 현재까지 500여개의 메일함을 침해하는 데 성공한 것으로 보인다.

공격자는 제일 먼저 구글 독스 문서를 만들고 악성 링크가 포함된 주석을 덧붙인다. 그리고 @ 기호를 사용해 피해자를 주석 기능 내에서 지목한다. 이렇게 함으로써 공격자는 피해자에게 구글 독스 파일로 연결되는 링크를 이메일로 자동 전송하게 된다. 이메일은 공격자가 작성한 주석을 그대로 노출시키는데, 여기에는 악성 링크도 포함되어 있다.

이 기법의 핵심은 구글로부터 직접 이메일 알림이 전송된다는 것이다. 구글이 직접 보내는 알림 메일은 대부분의 사용자가 의심 없이 열며, 보안 솔루션들도 거르지 않는다. 그렇기에 공격자들에게는 매우 매력적인 공격 기법일 수밖에 없다. 게다가 공격자의 이메일 주소도 노출되지 않는다. 그러니 사용자와 보안 솔루션의 의심은 더더욱 요원한 것이 될 수밖에 없다.

공격자에게 있어 공격 효율 역시 뛰어난 편이다. 구글의 지메일 계정을 만드는 건 간단하며 저렴하다. 주석을 한 줄 추가하는 것도 매우 쉬운 일이다. 표적에게 메일은 자동으로 전송된다. 피해자는 구글로부터 알림 메일을 받았을 뿐이니, 쉽게 공격을 허용한다. 공격자는 이 기법을 활용해 멀웨어를 유포할 수도, 크리덴셜을 훔칠 수도 있으며, 그 외 다른 악성 행위들도 할 수 있다.

심지어 피해자가 문서를 열어보지 않아도 공격은 성립한다. 문서가 아니라, 문서로 인해 전송되는 알림 이메일 내에 악성 링크가 포함되어 있기 때문이다. 피해자와 파일을 공유할 필요도, 피해자의 파일 열람을 유도할 필요도 없는 것이다. 그저 주석에 피해자만 언급하면 된다.

이 공격 기법은 구글 독스를 통해 구현됐지만 이론 상 구글 슬라이즈(Google Slides)를 통해서도 구현이 가능하다고 한다. 아바난은 이러한 사실들을 전부 종합해 지난 1월 3일, 구글 측에 알렸다. 아직 구글의 기술적 조치나 패치가 이뤄지지는 않았다.

3줄 요약
1. 구글 독스의 주석 기능 악용한 피싱 캠페인 발견됨.
2. 공격자는 구글 계정을 만들어 주석 기능만 활용하면 공격이 끝남.
3. 간단하면서도 성공률 높은 공격, 아직 기술적 조치는 이뤄지지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화