최근 피싱 공격자들이 애용하는 플랫폼, 구글 미트와 구글 더블클릭

정상적인 URL에 별도의 요소를 덧붙이는 게 허용되는 사이트들이 있다. 구글의 플랫폼들에서도 이러한 특성들이 발견된다. 공격자들이 여기에 새롭게 주목하기 시작했다. 그리고 피싱 공격을 대량 늘려가고 있다.

[보안뉴스 문가용 기자] 구글 미트(Google Meet)와 구글 더블클릭(Google DoubleClick)을 악용한 피싱 공격이 올해 1사분기와 2사분기 사이에 85% 증가했다는 내용의 분석 보고서를 보안 업체 그레이트혼(GreatHorn)이 발표됐다. 공격자들은 ‘링크 리디렉트(link redirect)’라는 명령을 이용하여 이 두 서비스를 악용하고 있다고 한다.

[이미지 = utoimage]

오픈 웹 애플리케이션 시큐리티 프로젝트(Open Web Application Security Project, OWASP)에 의하면 “웹 애플리케이션이 확인되지 않은 입력값을 받아들이는 특성을 가지고 있을 때 사용자들을 엉뚱한 URL로 우회 접속시키는 것이 가능하게 된다”고 설명한 바 있다. 정상 URL을 살짝 변경하는 것만으로 사용자들을 공격자들이 원하는 곳으로 유도할 수 있다는 것이다.

그레이트혼에 의하면 최근 공격자들은 구글 미트와 같은 정상적인 서비스의 URL 끝에 ‘링크 리디렉트’ 명령을 덧붙임으로써(예시 : meet.google.com/linkredirect?authuser=0&dest=some-malicious-site.com.) 피해자들이 구글 미트에 접속하려다가 다른 곳에 도착하게 만든다고 한다. 처음 부분이 구글 미트의 주소이기 때문에 사용자들이 잘 속으리라고 보는 것이다. 구글 더블클릭 URL도 이런 식으로 악용된다고 한다.

이 공격이 가능한 건 위에 나온 OWASP의 설명 그대로 구글이 제공하는 플랫폼들이 확인되지 않은 입력값, 보다 정확히 말하면 ‘오픈 리디렉트(open redirect)’를 허용하는 특성을 가지고 있기 때문이다. 그레이트혼의 CTO인 레이 월러스(Ray Wallace)는 “오픈 리디렉트를 허용하는 모든 웹사이트들은 피싱 공격자들에게 자주 활용된다”고 설명한다.

“이런 사이트들이 있다면 공격자들 입장에서 정상 URL을 그대로 복사해 살짝만 변경하면 공격 준비가 끝납니다. 그러나 오픈 리디렉트를 허용하는 게 무조건 잘못된 건 아닙니다. 사업적 전략의 일환으로 얼마든지 활용할 수 있는 기능이며, 장점도 분명히 존재하기 때문입니다. 다만 이를 공격자가 악용하는 게 나쁜 것이죠. 구글이라는 기업에 대한 일반 사용자들의 신뢰도가 높기 때문에 공격자들이 여기에 새로이 집중하는 것으로 보입니다.”

그렇다고 구글의 책임이 완전히 면제되는 것도 아니라고 월러스는 말한다. 왜냐하면 더블클릭 플랫폼의 오픈 리디렉트 문제는 2008년부터 지적되어 온 것이기 때문이다. 무려 14년 동안이나 이 문제를 방치한 것에는 변명의 여지가 없다는 게 월러스의 설명이다. 구글은 이번 그레이트혼의 발표 내용에 대해서도 별다른 입장문을 발표하지 않고 있다.

하지만 구글은 2009년 “모든 웹사이트에서 전반적으로 발견할 수 있는 태생적 한계”라고 표현한 적은 있다. “오픈 리디렉트의 허용이라는 건 정상적인 기능을 기술적으로 활용하는 것이지 취약점이나 오류를 방치하는 것이 아닙니다. 따라서 공격자들의 행위도 취약점의 익스플로잇이라고 보기는 힘들고, 기술의 남용이라고 파악하는 게 보다 적절합니다.” 당시 구글이 자사 블로그에 남긴 내용이다.

그레이트혼은 이런 구글의 입장에 딱히 반박하지는 않는다. 다만 현대 이메일 보안 도구들이 링크 리디렉트 요소를 정상 URL에 첨가하여 피해자들을 양산하는 종류의 공격에 취약하다는 걸 강조했다. 공격자들이 삽입하여 개조한 URL이 이미 블랙리스트에 올라 차단되는 게 아닌 이상 그 어떤 이메일 보안 솔루션도 이 공격을 막을 수 없다는 것이다. “지금은 사용자들이 URL의 처음부터 끝까지, 글자 하나하나를 다 확인하는 수밖에 없습니다. 오픈 리디렉트 허용이 정상적인 기능으로 규정되는 이상, 이를 악용하는 피싱 공격을 기술적으로 막기에는 힘들 겁니다.”

3줄 요약
1. 정상 URL에 뭔가를 덧붙이게 해 주는 ‘오픈 리디렉트’, 피싱 공격자들이 자주 악용.
2. 최근에는 구글의 미트와 더블클릭이라는 플랫폼에서 이런 류의 공격 자주 나타남.
3. 구글은 “오픈 리디렉트”가 정상적인 기능이며 취약점이 아니라고 보고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)