혹시 구글 오오스를 사용하던 회사에서 근무했는데, 그 회사가 문을 닫았는가? 그랬다면 그 회사와 관련된 각종 정보가 위험해질 수 있다. 편리하고 안전한 로그인을 보장해주는 기술 중 하나인 구글 오오스에서 근본적인 설계 오류가 발견됐기 때문이다.
3줄 요약
1. ‘구글 계정으로 로그인’을 뒷받침하는 기능에서 취약점 발견됨.
2. 망한 회사의 도메인을 구입하면, 그 회사의 과거 SaaS 등에 접속 가능.
3. 현재 구글 측에서 조치 취하고 있어 사용자는 기다려야만 함.
[보안뉴스 문가용 기자] 이제는 ‘구글 계정으로 로그인’(Sign in with Google)을 못 본 사람은 드물 것이다. 구글만이 아니라 애플과 페이스북, 네이버에 계정이 있는 사람이라면 비슷하게 로그인을 할 수 있다. 편리하면서도 안전한 인증 방법으로, 많은 사용자들 사이에서 사랑 받고 있다. 그러나 완전한 건 아니다. 오히려 ‘구글 계정으로 로그인’에서 발견된 구조적 문제 때문에 수백만 명이 데이터 탈취의 위험에 노출되어 있다는 연구 결과가 발표됐다.
[이미지 = gettyimagesbank]
보안 업체 트러플시큐리티(Truffle Security)는 “과거에 스타트업에서 일한 적이 있는데, 그 스타트업이 더 이상 사업을 이어가지 않는다면 특히 더 위험할 수 있다”고 경고한다. “소유하지 않은 계정에 로그인 하는 것이 가능해지기 때문입니다. 하지만 구글 측에서는 이것이 구글이 의도한 것이지 문제가 아니라고 주장하기도 했습니다. 가까운 미래에 구글로부터 패치가 나오지 않을 가능성이 낮지 않다고 볼 수 있습니다.”
어떤 문제 있으며, 왜 발생하는가?
트러플이 발견한 문제는 무엇일까? “간략히 설명해 공격자가 망한 스타트업의 도메인을 구매한 후, 그 도메인을 이용해 이전 직원들의 이메일 계정을 재구성할 수 있다는 겁니다. 오오스 인증은 이러한 식의 접근을 막지 못합니다. 이전 직원들의 이메일 계정을 재구성한다고 해서 이전 이메일에 저장된 데이터에까지 접근하지는 못합니다만, 그 이메일 계정들로 로그인했던 다양한 SaaS 서비스에 로그인할 수 있습니다. 예를 들어 그 이메일로 챗GPT에 로그인을 했다면 공격자도 똑같이 로그인을 해서 해당 기업의 직원들이 챗GPT에 남겼던 로그들을 열람할 수 있게 되는 겁니다.”
‘구글 계정으로 로그인’ 버튼을 누르면 무슨 일이 일어나기에 이런 상황이 벌어지는 걸까? “예를 들어 슬랙(Slack)이라는 곳에서 ‘구글 계정으로 로그인’을 시도했다고 합시다. 그러면 구글이 슬랙 측에 사용자를 나타내는 일련의 정보들을 보냅니다. 이 정보를 클레임(claim)이라고 합니다. 클레임에는 사용 중인 도메인과 사용자의 이메일 주소가 포함됩니다. 그러면 슬랙에서 이 클레임을 사용해 로그인을 할 수 있는지를 판단합니다.”
문제는 슬랙이 이 두 가지 클레임만으로 로그인 가능 여부를 판단할 때 발생한다. “그런 경우 예를 들어 도메인의 소유권이 변경되었어도 도메인 이름과 이메일 주소만 같다면 로그인이 가능하다고 판단합니다. 오오스를 통해 로그인을 처리하는 슬랙은 그러한 변화를 알아낼 방법이 없습니다. 누군가 망한 회사의 도메인을 구매하면, 그 회사가 썼던 클레임을 물려받게 되고, 이를 통해 이전 SaaS에도 로그인이 됩니다.”
하지만 구글은 아직 픽스를 발표하지 않았으며, 언제 발표할 지도 알 수 없는 상황이다. 사용자 기업들이 할 수 있는 일은 거의 없다. “현재로서는 해결책이 없습니다. 특히 위에서 예를 든 슬랙 등 하위 서비스 업체들은 추가 클레임을 개발해 적용하지 않는 한 옛 도메인을 구매해 악용하는 공격을 막아낼 수 없습니다. 하지만 추가 클레임을 개발하고 적용하는 건 구글 오오스 측에서 할 일이지 슬랙과 같은 하위 서비스 업체들이 할 수 있는 일이 아닙니다.”
그래서?
트러플시큐리티가 내리는 결론은 간단하다. “현재 상태로서 구글 오오스에는 근본적인 취약점이 있습니다. 그리고 그 취약점을 구글은 아직 해결하지 못하고 있습니다. 방법이 없는 건 아닙니다. 기존 클레임 외에 ‘변하지 않는 식별자’를 어떻게 해서든 도입하는 것인데, 구글이 이런 식으로 문제에 접근할 것인지는 아직 알 수 없습니다.”
보안 취약점이 발견됐음에도 사용자나 기업들이 할 수 있는 일이 많지 않은 경우가 종종 있다. 그럴 때 최소한의 할 일은 ‘지켜보는 것’이다. 소비자로서 구글에 계속해서 문의를 넣거나, 커뮤니티 등에서 공론화 시키는 것도 좋은 방법이다. 그러면 기업들이 더 빨리 움직일 가능성이 높아진다. 또한 구글이 패치나 완화책 등 해결 방안을 제시할 때, 그것을 널리 알리는 것도 ‘공동 대응’이라는 측면에서 권장할 만하다. 정보 보안 사건이나 문제는 점점 더 ‘공동의 대응’을 요구하는 쪽으로 흘러가고 있다.
이 문제에 대해 트러플은 어떤 해결책을 제시하고 있는지, 구글은 이 문제에 대해 어떻게 대응했다가 태도를 어떻게 바꿨는지, 공론화가 왜 중요한지는 1월 23일 발행되는 프리미엄 리포트의 확장판 섹션을 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. ‘구글 계정으로 로그인’을 뒷받침하는 기능에서 취약점 발견됨.
2. 망한 회사의 도메인을 구입하면, 그 회사의 과거 SaaS 등에 접속 가능.
3. 현재 구글 측에서 조치 취하고 있어 사용자는 기다려야만 함.
[보안뉴스 문가용 기자] 이제는 ‘구글 계정으로 로그인’(Sign in with Google)을 못 본 사람은 드물 것이다. 구글만이 아니라 애플과 페이스북, 네이버에 계정이 있는 사람이라면 비슷하게 로그인을 할 수 있다. 편리하면서도 안전한 인증 방법으로, 많은 사용자들 사이에서 사랑 받고 있다. 그러나 완전한 건 아니다. 오히려 ‘구글 계정으로 로그인’에서 발견된 구조적 문제 때문에 수백만 명이 데이터 탈취의 위험에 노출되어 있다는 연구 결과가 발표됐다.
[이미지 = gettyimagesbank]
보안 업체 트러플시큐리티(Truffle Security)는 “과거에 스타트업에서 일한 적이 있는데, 그 스타트업이 더 이상 사업을 이어가지 않는다면 특히 더 위험할 수 있다”고 경고한다. “소유하지 않은 계정에 로그인 하는 것이 가능해지기 때문입니다. 하지만 구글 측에서는 이것이 구글이 의도한 것이지 문제가 아니라고 주장하기도 했습니다. 가까운 미래에 구글로부터 패치가 나오지 않을 가능성이 낮지 않다고 볼 수 있습니다.”
어떤 문제 있으며, 왜 발생하는가?
트러플이 발견한 문제는 무엇일까? “간략히 설명해 공격자가 망한 스타트업의 도메인을 구매한 후, 그 도메인을 이용해 이전 직원들의 이메일 계정을 재구성할 수 있다는 겁니다. 오오스 인증은 이러한 식의 접근을 막지 못합니다. 이전 직원들의 이메일 계정을 재구성한다고 해서 이전 이메일에 저장된 데이터에까지 접근하지는 못합니다만, 그 이메일 계정들로 로그인했던 다양한 SaaS 서비스에 로그인할 수 있습니다. 예를 들어 그 이메일로 챗GPT에 로그인을 했다면 공격자도 똑같이 로그인을 해서 해당 기업의 직원들이 챗GPT에 남겼던 로그들을 열람할 수 있게 되는 겁니다.”
‘구글 계정으로 로그인’ 버튼을 누르면 무슨 일이 일어나기에 이런 상황이 벌어지는 걸까? “예를 들어 슬랙(Slack)이라는 곳에서 ‘구글 계정으로 로그인’을 시도했다고 합시다. 그러면 구글이 슬랙 측에 사용자를 나타내는 일련의 정보들을 보냅니다. 이 정보를 클레임(claim)이라고 합니다. 클레임에는 사용 중인 도메인과 사용자의 이메일 주소가 포함됩니다. 그러면 슬랙에서 이 클레임을 사용해 로그인을 할 수 있는지를 판단합니다.”
문제는 슬랙이 이 두 가지 클레임만으로 로그인 가능 여부를 판단할 때 발생한다. “그런 경우 예를 들어 도메인의 소유권이 변경되었어도 도메인 이름과 이메일 주소만 같다면 로그인이 가능하다고 판단합니다. 오오스를 통해 로그인을 처리하는 슬랙은 그러한 변화를 알아낼 방법이 없습니다. 누군가 망한 회사의 도메인을 구매하면, 그 회사가 썼던 클레임을 물려받게 되고, 이를 통해 이전 SaaS에도 로그인이 됩니다.”
하지만 구글은 아직 픽스를 발표하지 않았으며, 언제 발표할 지도 알 수 없는 상황이다. 사용자 기업들이 할 수 있는 일은 거의 없다. “현재로서는 해결책이 없습니다. 특히 위에서 예를 든 슬랙 등 하위 서비스 업체들은 추가 클레임을 개발해 적용하지 않는 한 옛 도메인을 구매해 악용하는 공격을 막아낼 수 없습니다. 하지만 추가 클레임을 개발하고 적용하는 건 구글 오오스 측에서 할 일이지 슬랙과 같은 하위 서비스 업체들이 할 수 있는 일이 아닙니다.”
그래서?
트러플시큐리티가 내리는 결론은 간단하다. “현재 상태로서 구글 오오스에는 근본적인 취약점이 있습니다. 그리고 그 취약점을 구글은 아직 해결하지 못하고 있습니다. 방법이 없는 건 아닙니다. 기존 클레임 외에 ‘변하지 않는 식별자’를 어떻게 해서든 도입하는 것인데, 구글이 이런 식으로 문제에 접근할 것인지는 아직 알 수 없습니다.”
보안 취약점이 발견됐음에도 사용자나 기업들이 할 수 있는 일이 많지 않은 경우가 종종 있다. 그럴 때 최소한의 할 일은 ‘지켜보는 것’이다. 소비자로서 구글에 계속해서 문의를 넣거나, 커뮤니티 등에서 공론화 시키는 것도 좋은 방법이다. 그러면 기업들이 더 빨리 움직일 가능성이 높아진다. 또한 구글이 패치나 완화책 등 해결 방안을 제시할 때, 그것을 널리 알리는 것도 ‘공동 대응’이라는 측면에서 권장할 만하다. 정보 보안 사건이나 문제는 점점 더 ‘공동의 대응’을 요구하는 쪽으로 흘러가고 있다.
이 문제에 대해 트러플은 어떤 해결책을 제시하고 있는지, 구글은 이 문제에 대해 어떻게 대응했다가 태도를 어떻게 바꿨는지, 공론화가 왜 중요한지는 1월 23일 발행되는 프리미엄 리포트의 확장판 섹션을 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
