구글이 지메일(Gmail) 사용자를 겨냥한 새로운 유형의 해킹 공격을 확인하고 사용자들에게 주의를 당부했다. 이번 공격은 러시아 정부의 지원을 받는 해커 조직이 배후에 있는 것으로 알려졌다.
구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)과 캐나다 토론토대학교 시민연구소(Citizen Lab)의 공동조사에 따르면, 해커들은 실제 미국 국무부 이메일 주소처럼 보이는 계정을 이용해 고위급 인사들을 속였다. 해킹 이메일에는 일정 초대와 PDF 파일이 포함돼 있었고, 바로 이 지점에서 공격이 시작됐다.
사용자가 PDF를 클릭하면, 구글의 실제 URL인 https://account.google.com 으로 유도된다. 표면적으로는 안전해 보였지만, 해커들은 사용자가 ‘앱 전용 비밀번호(App-Specific Password, ASP)’를 생성하도록 유도했다. 이 비밀번호는 2단계 인증을 지원하지 않는 앱에서 사용하는 16자리 코드다.
문제는 이후다. 해커들은 피해자에게 “문서를 열기 위해 필요하다”며 해당 ASP의 스크린샷을 요구했다. 이를 입수한 해커는 ASP를 이용해 추가 인증 없이 지메일 계정에 접근할 수 있었다.
구글은 “이러한 ASP는 사용자가 직접 생성하고 관리하는 방식이기 때문에, 본인이 공격 대상이 되었는지를 알지 못하면 비밀번호를 취소하지 않을 가능성이 높다”며 주의를 당부했다.
[사용자에게 권고되는 보안 조치]
- ASP 사용은 지양:구글은 현재 대부분의 경우 ASP가 필요하지 않다고 밝혔으며, 사용을 자제할 것을 권장하고 있다.
- ASP 공유 금지:어떤 메시지라도 ASP를 요구한다면 절대로 응하지 말 것.
- ‘구글 계정으로 로그인’ 기능 활용:타사 앱과 연동할 때는 ‘Sign in with Google’ 기능을 사용하는 것이 더 안전하다.
- 고위험군은 ‘고급 보호 프로그램’ 등록 권장:언론인, 정치인 등 해커의 주요 표적이 될 수 있는 사용자는 ‘구글 고급 보호 프로그램(Advanced Protection Program)’에 가입할 것을 고려해야 한다.
구글은 이번 공격이 소수의 고위 인사를 대상으로 이루어진 정밀 공격이었다고 밝혔지만, 향후 동일한 수법이 일반 사용자들을 겨냥한 대규모 스캠으로 확대될 가능성도 있다고 경고했다.
사용자들은 출처가 불분명한 문서나 이메일 첨부파일을 열기 전에 각별한 주의를 기울여야 하며, 비밀번호나 접근 코드 등 민감한 정보는 절대로 타인과 공유해서는 안 된다.
