신뢰받는 구글 환경 내에서만 진행되는 일련의 피싱 공격
SaaS는 아직 무법지대...악성 링크는 점점 구분하기 어려워지고
[보안뉴스 문가용 기자] 구글 앱스 스크립트(Google Apps Script)에서 취약점이 발견됐다. 이 취약점을 익스플로잇 하면 URL들을 통해 멀웨어를 퍼트리는 게 가능해진다. 보안 업체 프루프포인트(Proofpoint)에서 발견한 것이다.
[이미지 = iclickart]
먼저 구글 앱스 스크립트란 자바스크립트에 기반을 둔 개발 플랫폼으로, 개발자들이 스탠드얼론 웹 앱을 개발하거나 구글 앱스 환경을 통해 제공할 여러 확장 프로그램들을 개발하는 데에 활용된다. 하지만 이를 악성 공격자가 활용하면 자동 멀웨어 배포 혹은 고급 소셜 엔지니어링 공격 플랫폼으로 변한다고 한다.
프루프포인트의 부회장인 라이언 칼렘버(Ryan Kalember)는 “공격 패턴이 변하고 있다는 것에 주목해야 한다”고 설명한다. “보통은 피싱 이메일을 보내 사용자를 속여 악성 링크를 클릭하게 하거나 첨부파일을 다운로드 받게 하죠. 하지만 이러한 패턴이 다양하게 변하고 있다는 게 이번 발견의 핵심입니다.”
확실히 이메일에 구글 드라이브 URL을 첨부해 멀웨어를 다운로드 받게 하는 건 흔히 볼 수 있는 공격 방법이다. 악성 매크로가 포함되어 있는 마이크로소프트의 오피스 문서를 첨부하는 것도 흔히 볼 수 있는 공격 방법이다. 그렇다면 구글 앱스 스크립트를 통한 공격은 뭐가 다른 걸까?
“모든 행위가 구글에서 일어난다는 차이가 있습니다. 워드가 아니라 구글 독스 문건을 열도록 유도되며, 이를 통해 매크로가 아니라 구글 앱스 스크립트가 실행됩니다. 그리고 멀웨어는 구글 드라이브에 호스팅 되어 있습니다. 아웃룩을 통해 워드 문서가 열리고 매크로가 실행되는 것과 같은 원리이지만 환경이 완전히 다르죠. 구글은 많은 사용자가 신뢰하기 때문에 이러한 ‘변종’이 나오게 된 겁니다.”
게다가 구글 독스나 구글 앱스 스크립트와 같은 ‘서비스형 소프트웨어(SaaS)’를 활용하면 MS 문서를 사용했을 때보다 더 강력한 공격이 가능해진다고 한다. “대부분 기업들이 아직까지는 SaaS 사용에 대한 보안 정책을 마련하지 않았기 때문입니다. 워드는 90년대부터 사용해오던 오래된 소프트웨어지만, SaaS는 출현한지 얼마 되지 않은 것입니다.”
그리고 이 ‘변종’ 안에서도 여러 가지 공격 기법이 파생된다. 구글 독스 문서 내에 스크립트를 직접 심을 수도 있고, 링크만 걸어 놓고 악성 페이로드를 다운로드 받게 할 수도 있으며, 사용자를 소셜 엔지니어링으로 속여 멀웨어를 실행시키게 할 수도 있다. 공격의 다변화가 심화될 수 있다는 것이다.
“구글 앱스 스크립트라는 것 자체가 강력한 플랫폼입니다. 할 수 있는 일이 무궁무진하죠. 정상적인 개발자든, 악의적인 공격자든 구분할 것 없이 말입니다.” 칼렘버의 설명이다. “여기서 일어나는 일들을 기존 보안 솔루션들이 파악할 수도 없고 말이죠.”
프루프포인트는 이 취약점을 작년 가을에 이미 구글에 알렸다. 구글은 구글 앱스 스크립트와 관련된 이벤트에 대한 제한 옵션과 기능을 새롭게 추가시키는 등 여러 조치를 취했다고 한다. “그래서 대량 감염의 가능성은 대폭 줄어든 상태입니다.”
프루프포인트는 “공격자들이 SaaS로도 눈을 돌리기 시작했을 뿐 아니라 이미 활발히 악용하고 있다는 걸 보안 커뮤니티 전체가 염두에 두어야 할 시기”라고 경고했다. “아직 새로운 축에 속하는 SaaS 플랫폼은 보안의 시각에서는 ‘무법지대’입니다. 구글 앱스 스크립트가 개발 능력을 가진 사람들에게 제공하는 무궁무진한 가능성이, 합법적으로 악용되고 있는 이 모순적인 상황이 2018년 동안 계속 진행될 것입니다.”
칼렘버는 “구글이 사용자들을 위해 ‘미리 안전한 환경에서 첨부 파일을 열어보게 하거나 링크를 실행시켜보게 하는 보안 기능’을 제공하면 이러한 공격을 막는 데 큰 도움이 될 것”이라고 말한다. “점점 악성 링크를 정상 링크와 구분하는 게 어려워지고 있거든요. 사용자들에게 ‘확실한 링크만 클릭하세요’라고 말하기가 어려운 상황입니다. 악성 링크도 구글 독스 주소를 가지고 있으면 확실해 보이니까요.”
[국제부 문가용 기자(globoan@boannews.com)]
SaaS는 아직 무법지대...악성 링크는 점점 구분하기 어려워지고
[보안뉴스 문가용 기자] 구글 앱스 스크립트(Google Apps Script)에서 취약점이 발견됐다. 이 취약점을 익스플로잇 하면 URL들을 통해 멀웨어를 퍼트리는 게 가능해진다. 보안 업체 프루프포인트(Proofpoint)에서 발견한 것이다.
[이미지 = iclickart]
먼저 구글 앱스 스크립트란 자바스크립트에 기반을 둔 개발 플랫폼으로, 개발자들이 스탠드얼론 웹 앱을 개발하거나 구글 앱스 환경을 통해 제공할 여러 확장 프로그램들을 개발하는 데에 활용된다. 하지만 이를 악성 공격자가 활용하면 자동 멀웨어 배포 혹은 고급 소셜 엔지니어링 공격 플랫폼으로 변한다고 한다.
프루프포인트의 부회장인 라이언 칼렘버(Ryan Kalember)는 “공격 패턴이 변하고 있다는 것에 주목해야 한다”고 설명한다. “보통은 피싱 이메일을 보내 사용자를 속여 악성 링크를 클릭하게 하거나 첨부파일을 다운로드 받게 하죠. 하지만 이러한 패턴이 다양하게 변하고 있다는 게 이번 발견의 핵심입니다.”
확실히 이메일에 구글 드라이브 URL을 첨부해 멀웨어를 다운로드 받게 하는 건 흔히 볼 수 있는 공격 방법이다. 악성 매크로가 포함되어 있는 마이크로소프트의 오피스 문서를 첨부하는 것도 흔히 볼 수 있는 공격 방법이다. 그렇다면 구글 앱스 스크립트를 통한 공격은 뭐가 다른 걸까?
“모든 행위가 구글에서 일어난다는 차이가 있습니다. 워드가 아니라 구글 독스 문건을 열도록 유도되며, 이를 통해 매크로가 아니라 구글 앱스 스크립트가 실행됩니다. 그리고 멀웨어는 구글 드라이브에 호스팅 되어 있습니다. 아웃룩을 통해 워드 문서가 열리고 매크로가 실행되는 것과 같은 원리이지만 환경이 완전히 다르죠. 구글은 많은 사용자가 신뢰하기 때문에 이러한 ‘변종’이 나오게 된 겁니다.”
게다가 구글 독스나 구글 앱스 스크립트와 같은 ‘서비스형 소프트웨어(SaaS)’를 활용하면 MS 문서를 사용했을 때보다 더 강력한 공격이 가능해진다고 한다. “대부분 기업들이 아직까지는 SaaS 사용에 대한 보안 정책을 마련하지 않았기 때문입니다. 워드는 90년대부터 사용해오던 오래된 소프트웨어지만, SaaS는 출현한지 얼마 되지 않은 것입니다.”
그리고 이 ‘변종’ 안에서도 여러 가지 공격 기법이 파생된다. 구글 독스 문서 내에 스크립트를 직접 심을 수도 있고, 링크만 걸어 놓고 악성 페이로드를 다운로드 받게 할 수도 있으며, 사용자를 소셜 엔지니어링으로 속여 멀웨어를 실행시키게 할 수도 있다. 공격의 다변화가 심화될 수 있다는 것이다.
“구글 앱스 스크립트라는 것 자체가 강력한 플랫폼입니다. 할 수 있는 일이 무궁무진하죠. 정상적인 개발자든, 악의적인 공격자든 구분할 것 없이 말입니다.” 칼렘버의 설명이다. “여기서 일어나는 일들을 기존 보안 솔루션들이 파악할 수도 없고 말이죠.”
프루프포인트는 이 취약점을 작년 가을에 이미 구글에 알렸다. 구글은 구글 앱스 스크립트와 관련된 이벤트에 대한 제한 옵션과 기능을 새롭게 추가시키는 등 여러 조치를 취했다고 한다. “그래서 대량 감염의 가능성은 대폭 줄어든 상태입니다.”
프루프포인트는 “공격자들이 SaaS로도 눈을 돌리기 시작했을 뿐 아니라 이미 활발히 악용하고 있다는 걸 보안 커뮤니티 전체가 염두에 두어야 할 시기”라고 경고했다. “아직 새로운 축에 속하는 SaaS 플랫폼은 보안의 시각에서는 ‘무법지대’입니다. 구글 앱스 스크립트가 개발 능력을 가진 사람들에게 제공하는 무궁무진한 가능성이, 합법적으로 악용되고 있는 이 모순적인 상황이 2018년 동안 계속 진행될 것입니다.”
칼렘버는 “구글이 사용자들을 위해 ‘미리 안전한 환경에서 첨부 파일을 열어보게 하거나 링크를 실행시켜보게 하는 보안 기능’을 제공하면 이러한 공격을 막는 데 큰 도움이 될 것”이라고 말한다. “점점 악성 링크를 정상 링크와 구분하는 게 어려워지고 있거든요. 사용자들에게 ‘확실한 링크만 클릭하세요’라고 말하기가 어려운 상황입니다. 악성 링크도 구글 독스 주소를 가지고 있으면 확실해 보이니까요.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
