보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

구글 워크스페이스에서 발견된 설계 오류, 아직 패치 안 돼

입력 : 2023-11-29 12:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
요약 : 보안 외신 해커뉴스에 의하면 구글 워크스페이스(Google Workspace)에서 설계 결함이 발견됐다고 한다. 특히 구글 워크스페이스 내 DWD 기능에 문제가 있다고 한다. 이 결함을 익스플로잇 하는 데 성공할 경우 공격자는 관리자 권한 없이도 워크스페이스 API들에 접근할 수 있게 된다고 한다. 그런 후 이를 발판으로 지메일, 구글 드라이브 등에 접속하여 각종 데이터를 빼돌릴 수 있다. 이 취약점에는 현재 딜리프렌드(DeleFriend)라는 이름이 붙어 있는데, 아직 패치되지 않았다. 디자인 상에서 나타난 취약점은 패치로 해결되지 않는 경우가 상당히 많다.

[이미지 = gettyimagesbank]


배경 : DWD는 domain-wide delegation의 준말이다. 서드파티 및 내부 앱들이 구글 워크스페이스의 사용자 데이터에 접근하여 활용할 수 있게 해 주는 기능이다. 이렇게 함으로써 구글 워크스페이스와 다른 앱들의 호환성이 보강된다. 문제는 설정 상 이런 연결이 비밀 키가 아니라 오오스 ID(OAuth ID)를 기반으로 성립된다는 것이다. 그래서 공격자가 오오스 쪽을 공략하는 데 성공하면 워크스페이스 내 데이터에 접근할 수 있게 된다.

말말말 : “이 부분을 공격자가 파고드는 데 성공할 경우 꽤나 큰 사건으로 연결될 가능성이 높습니다. 구글 워크스페이스에 상당히 민감한 정보가 많이 저장되고 있기 때문입니다.” -헌터스(Hunters)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대