Home > 전체기사
구글, 서드파티 앱의 접근을 엄격하게 관리한다
  |  입력 : 2019-12-18 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
G 스위트 사용자 보호하기 위한 조치...2021년 2월 15일까지 단계별로 적용
서드파티 앱 중 비밀번호 만으로 로그인 하게 해주는 것들은 연동되지 않도록 해


[보안뉴스 문가용 기자] 구글이 이번 주 보안이 약한 앱들의 경우 G 스위트(G Suite) 계정 정보에 대한 접근 권한을 주지 않겠다고 발표했다. G 스위트 사용자들에게 불필요한 피해를 입힐 가능성이 있기 때문이라고 한다.

[이미지 = iclickart]


여기서 말하는 ‘보안이 약한 앱’이란 구글이 LSA라고 이름을 붙인 것들로, less secure apps의 준말이다. 구글이 직접 만들지 않은 서드파티 앱들이지만 구글 계정에의 접근이 허용된 앱들이며, 사용자의 ID와 비밀번호로 로그인이 된다. 따라서 오오스(OAuth) 등을 지원하는 앱들과 달리 계정 탈취에 취약할 수 있다는 게 구글의 설명이다.

구글의 설명처럼 LSA들이 G 스위트 계정에 접근하지 못하게 될 경우, 사용자의 이메일, 캘린더, 주소록과 같은 앱들에 어느 정도 영향이 있을 것으로 예상된다.

구글은 이러한 조치의 처음 단계로서, G 스위트 사용자들 중 처음으로 LSA와의 연결을 시도하는 경우, 해당 행위를 차단할 것이라고 발표했다. 이러한 규정이 공식 적용 및 시행되는 건 2020년 6월 15일부터이며, 구글 캘린더나 연락처, 이메일에 ‘비밀번호만으로’ 접근하는 서드파티 앱들에 영향을 미칠 것이다. CalDAV, CardDAV, IMAP 등이 여기에 포함된다.

그렇다면 LSA에 이미 접근해본 적이 있는 G 스위트 사용자라면 어떨까? 그렇다면 구글이 모든 LSA에 대한 접근 권한을 전부 삭제할 때까지 어느 정도 시간이 있다. 구글이 LSA의 G 스위트 접근 권한을 모조리 삭제하기로 예정된 날짜는 2021년 2월 15일이다.

많은 사용자들이 구글이 만들지 않은 서드파티 앱으로 G 스위트의 데이터를 활용하기 위해 계정에 대한 접근을 허용해주는 편이다. 하지만 사용자의 이름과 비밀번호만으로 접근을 이뤄내는 LSA의 경우 앱뿐만이 아니라 G 스위트 계정 자체도 위험해질 수 있다는 보고가 여기 저기서 나오고 있는 상황이다.

“악성 행위자가 사용자 이름과 비밀번호를 확보하는 데 성공했다고 칩시다. 예를 들어, 당신이 같은 사용자 이름과 비밀번호를 여러 사이트에서 사용할 경우, 이는 그리 낮은 경우의 수라고 볼 수 없습니다. 그렇다면 이 정보(사용자 이름과 비밀번호)를 가지고 LSA에 로그인 함으로써 당신의 G 스위트 계정 데이터를 얼마든지 열람 및 조작, 활용, 삭제할 수 있게 됩니다.” 구글 측의 설명이다.

이것과 달리 오오스와 같은 추가 인증 장치가 사용되는 경우라면 어떨까? “사용자 이름이나 비밀번호와 달리 추가 인증 정보는 제3자가 쉽게 취득할 수 있는 게 아닙니다. 따라서 앱을 통해 엉뚱한 사람이 로그인하는 게 그리 높은 경우의 수를 가져갈 수 없게 됩니다. 또한 그 정도의 악성 행위는 구글의 탐지에 걸립니다.”

구글은 계속해서 오오스를 강조했다. “오오스는 G 스위트 관리자가 보안 키 활용 등 로그인 관련 정책을 강력히 적용할 수 있도록 돕습니다. 또한 화이트리스트 앱이나 계정 접근 제어 장치 등 다른 보안 장치와의 호환성도 좋습니다. 이런 최소한의 안전 장치가 곁들여지지 않은 앱이라면 더 이상 G 스위트와 연동될 수 없게 하는 것이 저희의 방향성입니다.”

구글은 2021년 2월 15일 모든 LSA의 접근 권한이 삭제되면 G 스위트 계정의 보안이 크게 향상될 것이라고 기대하고 있다. 그러면서 “사용자들 편에서 즐겨 사용하던 앱을 더 이상 쓸 수 없게 될까봐 염려될 수 있지만, 오오스를 탑재한 대체 가능한 앱들이 얼마든지 존재하고 있고, 충분한 시간을 주었으므로 LSA 개발사들이 앱을 보완할 것”이라고 설명했다.

3줄 요약
1. 구글, G 스위트 사용자 보호하기 위한 강력한 조치에 대해 발표.
2. 서드파티 앱들 중 사용자 이름과 비밀번호만으로 로그인 하게 해주는 앱들은 이제 사용 금지.
3. 2021년 2월 15일부터 그러한 서드파티 앱들은 G 스위트에 접근 불가.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)