Home > 전체기사

최근 피싱 공격자들이 애용하는 플랫폼, 구글 미트와 구글 더블클릭

  |  입력 : 2021-08-12 15:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정상적인 URL에 별도의 요소를 덧붙이는 게 허용되는 사이트들이 있다. 구글의 플랫폼들에서도 이러한 특성들이 발견된다. 공격자들이 여기에 새롭게 주목하기 시작했다. 그리고 피싱 공격을 대량 늘려가고 있다.

[보안뉴스 문가용 기자] 구글 미트(Google Meet)와 구글 더블클릭(Google DoubleClick)을 악용한 피싱 공격이 올해 1사분기와 2사분기 사이에 85% 증가했다는 내용의 분석 보고서를 보안 업체 그레이트혼(GreatHorn)이 발표됐다. 공격자들은 ‘링크 리디렉트(link redirect)’라는 명령을 이용하여 이 두 서비스를 악용하고 있다고 한다.

[이미지 = utoimage]


오픈 웹 애플리케이션 시큐리티 프로젝트(Open Web Application Security Project, OWASP)에 의하면 “웹 애플리케이션이 확인되지 않은 입력값을 받아들이는 특성을 가지고 있을 때 사용자들을 엉뚱한 URL로 우회 접속시키는 것이 가능하게 된다”고 설명한 바 있다. 정상 URL을 살짝 변경하는 것만으로 사용자들을 공격자들이 원하는 곳으로 유도할 수 있다는 것이다.

그레이트혼에 의하면 최근 공격자들은 구글 미트와 같은 정상적인 서비스의 URL 끝에 ‘링크 리디렉트’ 명령을 덧붙임으로써(예시 : meet.google.com/linkredirect?authuser=0&dest=some-malicious-site.com.) 피해자들이 구글 미트에 접속하려다가 다른 곳에 도착하게 만든다고 한다. 처음 부분이 구글 미트의 주소이기 때문에 사용자들이 잘 속으리라고 보는 것이다. 구글 더블클릭 URL도 이런 식으로 악용된다고 한다.

이 공격이 가능한 건 위에 나온 OWASP의 설명 그대로 구글이 제공하는 플랫폼들이 확인되지 않은 입력값, 보다 정확히 말하면 ‘오픈 리디렉트(open redirect)’를 허용하는 특성을 가지고 있기 때문이다. 그레이트혼의 CTO인 레이 월러스(Ray Wallace)는 “오픈 리디렉트를 허용하는 모든 웹사이트들은 피싱 공격자들에게 자주 활용된다”고 설명한다.

“이런 사이트들이 있다면 공격자들 입장에서 정상 URL을 그대로 복사해 살짝만 변경하면 공격 준비가 끝납니다. 그러나 오픈 리디렉트를 허용하는 게 무조건 잘못된 건 아닙니다. 사업적 전략의 일환으로 얼마든지 활용할 수 있는 기능이며, 장점도 분명히 존재하기 때문입니다. 다만 이를 공격자가 악용하는 게 나쁜 것이죠. 구글이라는 기업에 대한 일반 사용자들의 신뢰도가 높기 때문에 공격자들이 여기에 새로이 집중하는 것으로 보입니다.”

그렇다고 구글의 책임이 완전히 면제되는 것도 아니라고 월러스는 말한다. 왜냐하면 더블클릭 플랫폼의 오픈 리디렉트 문제는 2008년부터 지적되어 온 것이기 때문이다. 무려 14년 동안이나 이 문제를 방치한 것에는 변명의 여지가 없다는 게 월러스의 설명이다. 구글은 이번 그레이트혼의 발표 내용에 대해서도 별다른 입장문을 발표하지 않고 있다.

하지만 구글은 2009년 “모든 웹사이트에서 전반적으로 발견할 수 있는 태생적 한계”라고 표현한 적은 있다. “오픈 리디렉트의 허용이라는 건 정상적인 기능을 기술적으로 활용하는 것이지 취약점이나 오류를 방치하는 것이 아닙니다. 따라서 공격자들의 행위도 취약점의 익스플로잇이라고 보기는 힘들고, 기술의 남용이라고 파악하는 게 보다 적절합니다.” 당시 구글이 자사 블로그에 남긴 내용이다.

그레이트혼은 이런 구글의 입장에 딱히 반박하지는 않는다. 다만 현대 이메일 보안 도구들이 링크 리디렉트 요소를 정상 URL에 첨가하여 피해자들을 양산하는 종류의 공격에 취약하다는 걸 강조했다. 공격자들이 삽입하여 개조한 URL이 이미 블랙리스트에 올라 차단되는 게 아닌 이상 그 어떤 이메일 보안 솔루션도 이 공격을 막을 수 없다는 것이다. “지금은 사용자들이 URL의 처음부터 끝까지, 글자 하나하나를 다 확인하는 수밖에 없습니다. 오픈 리디렉트 허용이 정상적인 기능으로 규정되는 이상, 이를 악용하는 피싱 공격을 기술적으로 막기에는 힘들 겁니다.”

3줄 요약
1. 정상 URL에 뭔가를 덧붙이게 해 주는 ‘오픈 리디렉트’, 피싱 공격자들이 자주 악용.
2. 최근에는 구글의 미트와 더블클릭이라는 플랫폼에서 이런 류의 공격 자주 나타남.
3. 구글은 “오픈 리디렉트”가 정상적인 기능이며 취약점이 아니라고 보고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화