구글 계정정보 노출 시 타인에 의한 인앱 결제 가능
결제 수단 최소화하고, 계정은 2단계 인증으로 보호해야
[보안뉴스 이상우 기자] 자신이 해본 적도 없는 모바일 게임에서 하루 사이에 수십만 원이 결제됐다는 피해사례를 심심찮게 들을 수 있다. 내용을 요약하면, 구글 플레이스토어에서 애플리케이션이나 앱 내 서비스 구매를 위해 등록해둔 결제수단을 이용해 타인이 게임 내 재화를 구매한 경우다. 특히, 휴대폰 결제의 경우 소액결제를 막아놓았다고 해도 이와 별도로 운영되는 ‘콘텐츠이용료’의 존재를 모르는 경우가 많아 추가적인 피해가 발생하기도 한다.
▲콘텐츠이용료 결제 화면[이미지=보안뉴스]
구글 플레이스토어를 비롯한 여러 앱 장터는 카드, 전화번호(휴대폰 소액결제), 간편결제(카카오페이 등) 같은 결제수단을 미리 등록해둔 상태에서 사용자가 특별한 번거로움 없이 앱 구매 및 앱 내 결제를 할 수 있도록 서비스를 제공한다. 그런데, 사용자가 계정에 대한 보호를 제대로 해놓지 않은 상태에서 자신의 구글 계정 정보가 유출된다면, 이 정보를 얻은 누구든 등록된 결제수단을 이용할 수 있게 된다. 즉, 최근 발생하는 무단결제는 사용자 구글 계정이 유출돼 타인에 의해 인앱 결제가 일어난 것으로 볼 수 있다.
그렇다면 계정정보 유출은 어떻게 일어났을까? 보안전문가들은 구글이 직접 공격을 당해 사용자 데이터가 유출됐을 가능성은 낮다고 보고 있다. 그러나 다른 서비스에서 유출한 아이디/비밀번호 정보를 활용하는 것은 가능하다. 실제로 많은 사용자가 여러 서비스에 동일한 아이디/비밀번호를 사용하고 있으며, 특정 서비스에서 유출된 정보가 다크웹 등을 통해 거래되기도 한다. 특히, 일부 보안대책이 허술한 서비스는 사용자 정보를 암호화하지 않은 평문으로 저장하는 경우도 있어 아이디/비밀번호 역시 그대로 사용할 수 있는 상태로 거래되기도 한다. 이러한 정보를 입수한 사이버 공격자는 구글 서비스에 하나하나 대입하며 유효한 계정을 찾고 결제에 악용할 수 있다.
또 다른 경우도 있다. 사용자가 피싱 메일이나 피싱 사이트 등을 통해 자신도 모르게 정보를 넘겨줬을 가능성이다. 사이버 공격자는 ‘구글 계정정보 업데이트’ 혹은 ‘구글 계정보안 강화’ 등을 사칭하며 사용자에게 피싱용 이메일을 보낸다. 이를 수신한 사용자가 해당 이메일에 속아 피싱 사이트에서 구글 서비스 로그인을 시도하면 아이디와 비밀번호가 공격자에게 넘어간다.
▲구글 플레이에서의 다양한 결제수단[이미지=보안뉴스]
그럼 이러한 공격을 막을 수 있는 방법은 없을까? 구글 플레이스토어의 경우 ‘결제 시 인증’이라는 기능을 제공하지만, 매 결제마다 비밀번호를 입력하는 단순한 기능이기 때문에 이미 구글 아이디/비밀번호가 유출된 상태에서는 해당 기능으로 공격자를 막는 것은 불가능하다, 이 때문에 근본적으로 결제가 불가능하도록 하거나 계정 자체를 공격자가 이용할 수 없도록 하는 것이 좋다.
구글 플레이에서 이용할 수 있는 결제수단은 다양하다. 이에 사용자는 우선 결제수단을 최소화해서 관리하고, 인앱 결제 등을 자주 이용하지 않는 사용자라면 모든 결제수단을 아예 제거하는 것이 좋다.
휴대폰 결제의 경우 소액결제와 콘텐츠이용료를 잘 구분하고 한도를 지정해야 한다. 휴대폰 요금에 합산돼 청구된다는 점은 같지만, 용도나 결제방식은 조금 차이가 있으며, 결제한도 역시 각각 설정할 수 있다. 이 때문에 인앱 결제를 이용하지 않는다면 통신사에 문의해 콘텐츠이용료 한도를 제한함으로써 무단결제가 일어나지 않도록 해야 한다.
가장 중요한 것은 2단계 인증을 설정하는 것이다. 2단계 인증은 로그인 시 아이디/비밀번호 외에도 추가적인 인증 수단을 이용하기 때문에 단순히 계정 정보가 유출된 것만으로는 공격자는 이를 악용할 수 없다.
▲2단계 인증 화면[사진=보안뉴스]
2단계 인증 설정을 위해서는 웹 브라우저에서 google.com에 접속한 뒤 로그인을 하고, 우측 상단에 있는 자신의 프로필을 눌러 계정설정 > 보안 탭을 선택한 뒤, 2단계 인증 항목을 누르면 인증에 사용하는 수단을 선택할 수 있다. 이후 다른 PC나 스마트폰 등에서 자신의 계정으로 로그인 할 때마다 2단계 인증을 거쳐야 하지만, 믿을 수 있는 기기라면 2단계 인증 없이 로그인 할 수 있도록 지정하면 된다.
구글 역시 시스템 변경이 필요할 것으로 보인다. 2단계 인증은 타인에 의한 로그인을 막는 방식으로, 결제 자체를 막는 것은 아니다. 이에 결제용 비밀번호를 따로 설정할 수 있도록 하는 등의 방식을 도입하는 것도 하나의 방법이 되지 않을까 싶다.
[이상우 기자(boan@boannews.com)]
결제 수단 최소화하고, 계정은 2단계 인증으로 보호해야
[보안뉴스 이상우 기자] 자신이 해본 적도 없는 모바일 게임에서 하루 사이에 수십만 원이 결제됐다는 피해사례를 심심찮게 들을 수 있다. 내용을 요약하면, 구글 플레이스토어에서 애플리케이션이나 앱 내 서비스 구매를 위해 등록해둔 결제수단을 이용해 타인이 게임 내 재화를 구매한 경우다. 특히, 휴대폰 결제의 경우 소액결제를 막아놓았다고 해도 이와 별도로 운영되는 ‘콘텐츠이용료’의 존재를 모르는 경우가 많아 추가적인 피해가 발생하기도 한다.
▲콘텐츠이용료 결제 화면[이미지=보안뉴스]
구글 플레이스토어를 비롯한 여러 앱 장터는 카드, 전화번호(휴대폰 소액결제), 간편결제(카카오페이 등) 같은 결제수단을 미리 등록해둔 상태에서 사용자가 특별한 번거로움 없이 앱 구매 및 앱 내 결제를 할 수 있도록 서비스를 제공한다. 그런데, 사용자가 계정에 대한 보호를 제대로 해놓지 않은 상태에서 자신의 구글 계정 정보가 유출된다면, 이 정보를 얻은 누구든 등록된 결제수단을 이용할 수 있게 된다. 즉, 최근 발생하는 무단결제는 사용자 구글 계정이 유출돼 타인에 의해 인앱 결제가 일어난 것으로 볼 수 있다.
그렇다면 계정정보 유출은 어떻게 일어났을까? 보안전문가들은 구글이 직접 공격을 당해 사용자 데이터가 유출됐을 가능성은 낮다고 보고 있다. 그러나 다른 서비스에서 유출한 아이디/비밀번호 정보를 활용하는 것은 가능하다. 실제로 많은 사용자가 여러 서비스에 동일한 아이디/비밀번호를 사용하고 있으며, 특정 서비스에서 유출된 정보가 다크웹 등을 통해 거래되기도 한다. 특히, 일부 보안대책이 허술한 서비스는 사용자 정보를 암호화하지 않은 평문으로 저장하는 경우도 있어 아이디/비밀번호 역시 그대로 사용할 수 있는 상태로 거래되기도 한다. 이러한 정보를 입수한 사이버 공격자는 구글 서비스에 하나하나 대입하며 유효한 계정을 찾고 결제에 악용할 수 있다.
또 다른 경우도 있다. 사용자가 피싱 메일이나 피싱 사이트 등을 통해 자신도 모르게 정보를 넘겨줬을 가능성이다. 사이버 공격자는 ‘구글 계정정보 업데이트’ 혹은 ‘구글 계정보안 강화’ 등을 사칭하며 사용자에게 피싱용 이메일을 보낸다. 이를 수신한 사용자가 해당 이메일에 속아 피싱 사이트에서 구글 서비스 로그인을 시도하면 아이디와 비밀번호가 공격자에게 넘어간다.
▲구글 플레이에서의 다양한 결제수단[이미지=보안뉴스]
그럼 이러한 공격을 막을 수 있는 방법은 없을까? 구글 플레이스토어의 경우 ‘결제 시 인증’이라는 기능을 제공하지만, 매 결제마다 비밀번호를 입력하는 단순한 기능이기 때문에 이미 구글 아이디/비밀번호가 유출된 상태에서는 해당 기능으로 공격자를 막는 것은 불가능하다, 이 때문에 근본적으로 결제가 불가능하도록 하거나 계정 자체를 공격자가 이용할 수 없도록 하는 것이 좋다.
구글 플레이에서 이용할 수 있는 결제수단은 다양하다. 이에 사용자는 우선 결제수단을 최소화해서 관리하고, 인앱 결제 등을 자주 이용하지 않는 사용자라면 모든 결제수단을 아예 제거하는 것이 좋다.
휴대폰 결제의 경우 소액결제와 콘텐츠이용료를 잘 구분하고 한도를 지정해야 한다. 휴대폰 요금에 합산돼 청구된다는 점은 같지만, 용도나 결제방식은 조금 차이가 있으며, 결제한도 역시 각각 설정할 수 있다. 이 때문에 인앱 결제를 이용하지 않는다면 통신사에 문의해 콘텐츠이용료 한도를 제한함으로써 무단결제가 일어나지 않도록 해야 한다.
가장 중요한 것은 2단계 인증을 설정하는 것이다. 2단계 인증은 로그인 시 아이디/비밀번호 외에도 추가적인 인증 수단을 이용하기 때문에 단순히 계정 정보가 유출된 것만으로는 공격자는 이를 악용할 수 없다.
▲2단계 인증 화면[사진=보안뉴스]
2단계 인증 설정을 위해서는 웹 브라우저에서 google.com에 접속한 뒤 로그인을 하고, 우측 상단에 있는 자신의 프로필을 눌러 계정설정 > 보안 탭을 선택한 뒤, 2단계 인증 항목을 누르면 인증에 사용하는 수단을 선택할 수 있다. 이후 다른 PC나 스마트폰 등에서 자신의 계정으로 로그인 할 때마다 2단계 인증을 거쳐야 하지만, 믿을 수 있는 기기라면 2단계 인증 없이 로그인 할 수 있도록 지정하면 된다.
구글 역시 시스템 변경이 필요할 것으로 보인다. 2단계 인증은 타인에 의한 로그인을 막는 방식으로, 결제 자체를 막는 것은 아니다. 이에 결제용 비밀번호를 따로 설정할 수 있도록 하는 등의 방식을 도입하는 것도 하나의 방법이 되지 않을까 싶다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
