구글, 사기성 계정 생성 막으려 비슷한 여러 이메일 주소 하나로 인식
BEC 공격자들, 이를 활용해 다양한 이메일 주소를 하나의 계정에서 관리

[보안뉴스 문가용 기자] 사이버 범죄자들이 구글의 지메일에 있는 계정 보안 기능을 남용해 다양한 웹사이트에서 가짜 계정을 빠르게, 대량으로 생성하고 있다고 보안 업체 애거리(Agari)가 밝혔다. 이러한 현상에 대해서는 이전부터 경고가 있어 왔다.


[이미지 = iclickart]

이 기능은 여러 지메일 주소가 결국 같은 계정을 가리키고 있다는 걸 확인해주는 것으로, 예를 들어 johnsmith@gmail.com이나 john.smith@gmail.com이나 jo.hn.smith@gmail.com이나 구글은 전부 같은 주소로 확인한다. johnsmith@gmail.com이라는 계정을 보유한 사람은 보내는 사람이 위 세 가지 버전 중 어떤 곳으로 메일을 보내든 전부 받을 수 있게 된다.

구글의 대변인은 “타인의 이름이나 사용자 이름을 함부로 사용할 수 없도록 마련한 장치”라고 이 기능에 대해 설명했다. “지메일 주소는 해당 소유자에게 있어 고유해야 합니다. 누구라도 점 몇 개 찍어 쉽게 가져올 수 없는 것이어야 하죠. 그렇기 때문에 다른 사람의 이름에 교묘한 점을 찍어 계정을 생성하려고 해도 실패할 수밖에 없습니다.”

하지만 이 기능이 최근 타 사이트의 계정 생성 기능과 얽히기 시작했다. 애거리에 따르면 “신용카드 회사나 소셜 미디어 사이트 등에서 계정을 만들 때, 대부분은 이름에 점이 찍히면 다른 계정으로 인식한다”고 설명한다. 대부분의 경우 johnsmith@gmail.com과 john.smith@gmail.com이 다르게 인식된다는 것이다. “이를 이용해 공격자들은 비슷하면서도 서로 다르게 인지되는 이메일 주소를 여러 개 만들 수 있게 됩니다.”

애거리는 최근 사업 이메일 침해(BEC) 공격자들이 한 개의 웹사이트에서 여러 개의 ‘점 찍힌’ 이메일 계정을 만들고, 이를 전부 한 개 지메일 계정으로 통합하는 방식을 사용하고 있는 걸 발견했다. “이렇게 함으로써 공격자들은 네 개의 미국 기업들에 48개의 신용카드 신청서를 제출하고, 최소 6만 5천 달러를 사기쳤습니다. 뿐만 아니라 11건의 세금 관련 사기 공격도 바로 이 지메일 통합 기능을 사용해 실행했고, 우체국에 사기성 주소 변경 신청도 12번이나 했습니다.”

애거리는 “문제는 지메일의 기능 그 자체에 있는 것이 아니”라고 강조했다. “지메일이 취약하기 때문에 이런 일이 발생하는 게 아닙니다. 지메일의 정상 기능을 자기들 좋을 대로 사용하는 법을 공격자들이 익힌 것이죠. 여러 개의 사기성 이메일을 훨씬 편리하게 운영하고 깔끔하게 관리하는 법을 말입니다.”

애거리는 “공격의 효율성이 크게 높아졌다”고 지메일 악용의 이점을 요약한다. “사기 공격을 위해 이메일을 수십~수백 개씩 운영하는데, 이걸 일일이 점검하고 모니터링할 필요가 없어진 겁니다. 그냥 구글 메일 하나만 보면 되니까요. 그래서 공격이 더 대규모로, 더 빠르게 일어날 수 있게 됩니다.”

그래서 애거리는 “계정 생성을 가능케 하는 웹사이트 운영 조직이라면 지메일의 이메일 통합 기능과, 그 기능을 악용한 BEC 공격에 대해 인지하고 있어야 한다”고 설명한다. “구글처럼 비슷한 이름에 점이 찍힌 버전들을 전부 하나의 계정으로 보는 것도 한 방법입니다. 그러면 공격자들이 그 웹사이트를 통해 계정을 마구 만들지 않을 겁니다. 이런 방법을 도입하기 어렵다면 갑자기 비슷한 이메일 주소가 다량으로 만들어지는 것을 모니터링해야 합니다.”

3줄 요약
1. 구글 지메일의 독특한 계정 관리 기능, 여러 비슷한 계정 하나로 취급함.
2. 이를 공격자들이 활용해, 여러 비슷한 계정을 하나의 지메일로 관리하기 시작.
3. 공격 효율 높아짐. 계정 생성 가능케 하는 웹사이트에서는 이러한 행위 인지하고 대책 마련해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>