‘누군가 당신의 계정에 접속했다’는 안내 메일로부터 시작
구글 번역 서비스로 주소 감추기...가짜 페이지들, PC로 보면 허술

[보안뉴스 문가용 기자] 최근 구글 번역(Google Translate) 서비스를 활용해 모바일 사용자들을 노리는 피싱 공격이 기승을 부리고 있다는 소식이다. 공격자들이 피해자들에게 가짜 구글 및 페이스북 로그인 페이지를 제공하고, 이를 통해 크리덴셜을 훔쳐간다는 내용이다.


[이미지 = iclickart]

공격 자체는 피해자들에게 발송되는 알림 이메일로부터 시작된다. 누군가 당신의 구글 계정에 이러이러한 장비를 가지고 접근했다는 내용이다. 해당 내용을 보다 더 상세하게 파악하려면 페이지 내에 있는 버튼을 눌러야 한다는 것. 하지만 그 버튼을 누르면 피싱 페이지로 연결된다.

모바일을 통해 이 메일을 확인할 경우, 화면에 작게 압축되기 때문에 실제 구글이 보낸 알림 메일과 똑같아 보인다. 하지만 데스크톱에서는 허술한 부분들이 눈에 띈다. 제일 먼저 문제가 되는 건 보낸 사람의 주소다. 구글에서 보낸 알림 메일인데 주소는 facebook_secur@hotmail.com이기 때문이다.

이러한 공격을 발견한 보안 업체 아카마이(Akamai)의 래리 캐시돌라(Larry Cashdollar)는 “유명한 브랜드 이름을 빌려와 사용자들의 의심을 제거하려는 시도는 피싱 공격에 있어서 전통적인 방법”이라고 말한다. “수많은 피싱 공격자들이 유명 기관이나 브랜드를 사칭하죠. 피해자들이 어디어디 회사라고 했을 때 물음표부터 띄우지 않도록 하기 위해서입니다.”

아무튼, 위의 가짜 알림 메일에 속아서 버튼을 클릭한 사용자는 구글의 로그인 페이지로 안내된다. 물론 이 페이지도 진짜처럼 보이는 가짜다. “공격자들은 이 버튼에 한 가지 장치를 추가로 덧입혔습니다. 버튼 위로 ‘마우스오버’했을 때 나타나는 주소를 숨기기 위해 구글 번역 서비스를 사용한 겁니다.”

구글 번역 서비스를 사용했을 때 어떤 이점이 있을까? “주소창이 무작위 글자들로 가득 찹니다. 맨 앞은 구글의 정상적인 도메인이 나타나고요. 조심스러운 사용자가 버튼에 마우스만 올렸을 때 보이는 건 정상 구글 도메인과 그 뒤로 길게 나열되는 글자들입니다. 이렇게 했을 때 엔드포인트 방어 장치들도 일부 속이는 게 가능합니다.”

캐시돌라는 “이 공격은 모바일 사용자들을 노린 것으로 보인다”고 말한다. 모바일 환경에서는 공격자들이 마련한 가짜 웹 페이지나 가짜 링크 주소 등이 그럴 듯하게 보이지만, PC의 큰 화면으로 봤을 때는 그렇지 않기 때문이다. “모바일 사용자가 여기에 속아 크리덴셜을 입력하면, 전부 공격자에게 전송됩니다.”

일반적으로 피싱 공격은 이 지점에서 끝난다. 하지만 이번에 캐시돌라가 공개한 공격은 그렇지 않다. “한 단계 더 나아갑니다. 구글 크리덴셜만이 아니라 페이스북 크리덴셜도 훔치려는 게 2단계의 목적이죠. 이를 위해서 공격자들은 가짜 페이스북 모바일 로그인 페이지로 피해자를 안내합니다.”

캐시돌라는 가짜 구글 로그인 페이지나 가짜 페이스북 로그인 페이지나 같은 점이 존재한다고 말한다. 둘 다 옛날 버전의 페이지들이라는 것이다. “아마도 공격자들이 옛날 공격 키트를 구매한 것이 아닐까 합니다. 이런 것들은 굉장히 저렴하거나 심지어 무료로 배포되기도 하죠. 즉 공격자가 엄청난 정성을 투자한 것 같지는 않습니다.”

현재 공격자들이 수집하는 건 사용자 이름, 비밀번호를 비롯해 IP 주소 및 브라우저 종류와 관련된 정보들이다. “이 역시도 오래된 키트에서 발견되는 특징입니다. 최근 피싱 공격이라면 여기에 더해 위치 정보, 보다 더 광범위한 개인 식별 정보도 같이 가져갔을 겁니다.” 캐시돌라의 설명이다.

3줄 요약
1. 구글과 페이스북의 로그인 크리덴셜 탈취하려는 피싱 공격 유행 중.
2. 특이하게 악성 주소 숨기려고 ‘구글 번역’ 서비스 활용하기도 함.
3. 그러나 가짜 로그인 페이지가 오래된 것들임. 오래된 툴킷 사용하는 듯 함. 그래도 걸려드는 피해자들이 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>