지난주에는 퍼니코드 피싱 공격에 대해 자세히 알아보았습니다. 그 전 주에는 합법적인 유명 서비스와 협력하는 것처럼 위장한 가짜 VPN 서비스에 대해 이야기했었죠. 이번에는 피싱 공격이 구글 문서 파일을 사칭하여 이루어지고 있습니다. 간단히 말해, 여러분을 구글 문서 파일에 초대한다는 이메일을 받게 됩니다. 초대받은 링크를 클릭하고 추가 액세스 권한을 부여하면 실수로 다른 사람에게 이메일 액세스 권한을 넘겨주게 됩니다. 이메일에서 계정 선택 페이지까지의 모든 과정은 합법적으로 보이지만, 이메일에 대한 ‘문서’ 액세스 권한을 부여해야 하는 순간 함정에 빠지게 됩니다. 다행히 구글 직원이 Reddit에 보고된 이 공격을 빠르게 인지하고 차단하여 피해를 줄일 수 있었습니다. 자세한 내용은 아래에서 확인하실 수 있습니다.
구글 문서 도구 피싱 사기
Reddit 사용자 JakeSteam은 r/Google 커뮤니티에 새로운 구글 문서 도구 피싱 사기에 자신이 어떻게 속았는지에 대한 경험을 공유했습니다. 그가 받은 이메일은 진짜처럼 보였고, 계정 선택 화면도 진짜와 같았으며, 발신자 또한 익숙했습니다. 그에게 이상한 점을 알려준 것은 바로 추가 액세스 권한을 요구하는 부분이었죠.
이 특정 권한 요청을 통해 가짜 구글 문서 도구가 사용자의 계정에 접근할 수 있게 됩니다. (이미지 출처: Reddit 사용자 JakeSteam) Jake는 ‘구글 문서 도구’를 클릭했지만, 실제 구글 문서 도구 앱이 아닌 그가 모르는 Gmail 계정에서 게시된 링크였던 것으로 밝혀졌습니다.
어떤 위험에 노출될까요?
‘구글 문서 도구’는 기본적으로 애플리케이션입니다. 이 앱은 여러분의 이메일 접근 권한을 요청하며, 이 권한이 악용되면 여러분의 정보가 무작위의 다른 사람에게 전송될 수 있습니다. 만약 그 사람이 이메일에 접근할 수 있다면, 여러분이 소유한 모든 계정의 비밀번호를 재설정할 수 있습니다. 이는 온라인 뱅킹 계정, 드롭박스, 페이스북, 트위터 등 모든 것을 포함합니다.
이 공격이 더욱 교묘한 이유는 스스로를 ‘구글 문서 도구’라고 부르기 때문입니다. Jake가 받은 이메일은 구글 문서 파일이 그와 공유되었다는 내용이었죠. 주의력이 부족한 사용자는 이것이 단순히 추가 권한을 요청하는 구글 문서 도구일 것이라고 생각할 수 있습니다. 일반적으로 사용자는 신뢰할 수 있는 앱이 요구하는 권한에 대해 큰 관심을 기울이지 않습니다. 이는 마치 Plex와 제휴한 것처럼 속이는 가짜 VPN 사기와 비슷한 유형의 공격입니다.
그러나 이 경우는 제휴를 사칭하는 것이 아닌, 신뢰할 수 있는 앱을 사칭하는 더욱 위험한 유형의 공격입니다.
구글의 대응
Jake가 이 사실을 Reddit에 게시하자, 구글 직원은 빠르게 이 문제를 인지하고 조치를 취했습니다. 몇 시간 만에 문제가 해결되었지만, 또 다른 공격이 발생할 가능성을 고려하여 이 문제가 완전히 해결되기를 바랍니다.
구글은 사용자가 앱에 구글 문서 도구와 같은 이름을 지정하는 것을 막지 않기 때문에 이러한 사기가 가능했습니다. 구글이 이러한 악용을 조속히 막기를 바라며, 항상 경계를 늦추지 않는 것이 중요합니다.
업데이트: 트위터의 공식 구글 문서 도구 계정은 이 사기 및 해결 방법에 대한 공식 성명을 발표했습니다.
Google 문서를 사칭하는 피싱 이메일로 문제를 해결했습니다. 영향을 받았다고 생각되면 다음을 방문하십시오. https://t.co/O68nQjFhBL. pic.twitter.com/AtlX6oNZaf
— 구글 문서(@googledocs) 2017년 5월 3일
만약 피해를 입었다면 해야 할 일
이미 피해를 입었을 수도 있습니다. 이 경우, Reddit의 영웅이자 우리 주변의 좋은 사람 JakeSteam이 몇 가지 팁을 제공합니다.
이 페이지를 방문하여 ‘구글 문서 도구’라고 불리는 앱에 대한 접근 권한을 취소하십시오. 실제 구글 문서 도구는 작동하기 위해 추가 권한이 필요하지 않습니다.
귀하의 계정이 스팸을 보내고 있는지 확인하고, 귀하로부터 스팸을 받은 사람들에게 연락하여 무슨 일이 일어나고 있는지 알리십시오.
구글 문서 도구 초대를 보낸 사람을 아는 경우, 연락하여 계정이 해킹당했다는 사실을 알려주십시오.
마지막으로, 구글 비즈니스 계정 관리자인 경우 ‘구글 문서 도구’라는 앱에 권한을 부여하거나 접근 권한을 가진 계정이 없는지 확인하십시오.