[보안뉴스 이소미 기자] 실제 구글 명의로 보안 경고를 위장한 피싱 이메일을 보내는 공격이 발견됐다. 피싱 메일은 구글 공식 서버로 발송됐고, 이메일 보안 인증까지 문제없이 통과해 우려를 더했다.
최근 구글 명의로 “사용자 구글 계정 정보에 대한 수사기관의 영장이 집행됐다”는 내용의 가짜 보안 공지 메일이 발송되고 있다. “이의 제기를 하려면 관련 구글 지원 사이트를 통하라”는 내용도 포함돼 있다.
이 메일은 구글이 이메일 공지에 사용하는 ‘no-reply@google.com’ 계정에서 발송됐다. 메일 발송 정보 진위를 검증하는 도메인키식별메일(DKIM) 인증도 통과했다. 이 문제를 제보한 개발자 닉 존슨에 따르면, 심지어 스팸으로 걸러지지 않고 다른 정식 구글 공지 메일과 나란히 받은편지함에 나타났다.
▲제보자 닉 존슨이 실제 수신한 구글 피싱 이메일 원문 내용[자료: 닉 존슨]
실제 구글 공지 메일과 매우 흡사했지만, 한가지 작은 차이가 있었다. 안내된 사이트가 ‘google.com’이 아니라 ‘sites.google.com’ 주소를 가진 것이었다. sites.google.com은 누구나 쓸 수 있는 구글 홈페이지 제작 서비스 ‘구글 사이트’ 도메인이다.
이 사이트를 클릭하면 구글 로그인 페이지와 똑같이 만든 피싱 사이트로 연결된다. 여기서 로그인 정보를 입력하면 구글 계정 정보가 공격자 수중에 넘어간다.
▲피싱 메일 본문에 첨부된 링크 접속 화면[자료: 닉존슨]
이 공격은 구글 인프라 취약점을 교묘하게 악용했다. 공격자는 임의의 도메인을 등록하고 ‘me@해당 도메인’ 계정을 구글 워크스페이스 계정과 연동한다. 이때 도메인은 ‘google-mail-stmp-out-198-142-125-38-prod.net’ 같이 마치 구글 내부 인프라 주소처럼 보이는 것을 쓴다.
이어 회원가입 없이 구글 계정으로 다른 사이트에 로그인하는 ‘구글 오스(OAuth)’를 이용한 앱을 만든다. 수색 영장 집행에 대한 피싱 메일 내용 전체를 앱 이름으로 등록한다. 줄바꿈과 공백을 전략적으로 삽입해 앱 이름이 이메일 제목처럼 보이도록 구성했다.
이후 만들어 둔 me@도메인 계정에 OAuth 앱 접근 권한을 부여하면 구글이 이 계정으로 보안 공지를 자동 발송한다.
▲구글 인프라를 활용해 보낸 피싱 메일 발신자 및 수신자 정보 [자료: 닉 존슨]
이 메일은 구글이 보낸 메일이므로 정상적인 DKIM 인증 정보를 갖고 있다. 공격자는 다른 이메일 서비스를 이용, 발신자가 구글로 표시된 메일을 피해자에게 보낸다. 수신자는 ‘me@도메인’ 형태라 수신자에게 직접 발송된 듯한 인상을 주고, 메일 제목과 본문엔 OAuth 앱에 제목으로 등록한 피싱 메일 내용이 나타나 깜쪽 같은 구글 공지 메일로 보인다.
이 공격은 구글 정식 인프라로 피싱 메일을 보낼 수 있음을 보였다는 점에서 문제로 지적된다. 구글은 닉 존슨의 제보 이후 이 문제를 수정하겠다고 밝혔다.
[이소미 기자(boan4@boannews.com)]
최근 구글 명의로 “사용자 구글 계정 정보에 대한 수사기관의 영장이 집행됐다”는 내용의 가짜 보안 공지 메일이 발송되고 있다. “이의 제기를 하려면 관련 구글 지원 사이트를 통하라”는 내용도 포함돼 있다.
이 메일은 구글이 이메일 공지에 사용하는 ‘no-reply@google.com’ 계정에서 발송됐다. 메일 발송 정보 진위를 검증하는 도메인키식별메일(DKIM) 인증도 통과했다. 이 문제를 제보한 개발자 닉 존슨에 따르면, 심지어 스팸으로 걸러지지 않고 다른 정식 구글 공지 메일과 나란히 받은편지함에 나타났다.
▲제보자 닉 존슨이 실제 수신한 구글 피싱 이메일 원문 내용[자료: 닉 존슨]
실제 구글 공지 메일과 매우 흡사했지만, 한가지 작은 차이가 있었다. 안내된 사이트가 ‘google.com’이 아니라 ‘sites.google.com’ 주소를 가진 것이었다. sites.google.com은 누구나 쓸 수 있는 구글 홈페이지 제작 서비스 ‘구글 사이트’ 도메인이다.
이 사이트를 클릭하면 구글 로그인 페이지와 똑같이 만든 피싱 사이트로 연결된다. 여기서 로그인 정보를 입력하면 구글 계정 정보가 공격자 수중에 넘어간다.
▲피싱 메일 본문에 첨부된 링크 접속 화면[자료: 닉존슨]
이 공격은 구글 인프라 취약점을 교묘하게 악용했다. 공격자는 임의의 도메인을 등록하고 ‘me@해당 도메인’ 계정을 구글 워크스페이스 계정과 연동한다. 이때 도메인은 ‘google-mail-stmp-out-198-142-125-38-prod.net’ 같이 마치 구글 내부 인프라 주소처럼 보이는 것을 쓴다.
이어 회원가입 없이 구글 계정으로 다른 사이트에 로그인하는 ‘구글 오스(OAuth)’를 이용한 앱을 만든다. 수색 영장 집행에 대한 피싱 메일 내용 전체를 앱 이름으로 등록한다. 줄바꿈과 공백을 전략적으로 삽입해 앱 이름이 이메일 제목처럼 보이도록 구성했다.
이후 만들어 둔 me@도메인 계정에 OAuth 앱 접근 권한을 부여하면 구글이 이 계정으로 보안 공지를 자동 발송한다.
▲구글 인프라를 활용해 보낸 피싱 메일 발신자 및 수신자 정보 [자료: 닉 존슨]
이 메일은 구글이 보낸 메일이므로 정상적인 DKIM 인증 정보를 갖고 있다. 공격자는 다른 이메일 서비스를 이용, 발신자가 구글로 표시된 메일을 피해자에게 보낸다. 수신자는 ‘me@도메인’ 형태라 수신자에게 직접 발송된 듯한 인상을 주고, 메일 제목과 본문엔 OAuth 앱에 제목으로 등록한 피싱 메일 내용이 나타나 깜쪽 같은 구글 공지 메일로 보인다.
이 공격은 구글 정식 인프라로 피싱 메일을 보낼 수 있음을 보였다는 점에서 문제로 지적된다. 구글은 닉 존슨의 제보 이후 이 문제를 수정하겠다고 밝혔다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
