구글 독스에 호스팅 된 파일이 마치 구글 독스의 파일 공유 페이지처럼 생겼다. 그래서 파일을 받으려고 누르면 (가짜) 로그인 페이지가 나타난다. 비밀번호를 입력하면 정보가 다른 곳으로 샌다. 이러한 과정 중 구글 서비스를 불법적으로 사용한 경우는 없다. 합법적인 활용만으로도 피싱 공격이 가능하다는 것이다.
[보안뉴스 문가용 기자] 구글 독스를 활용한 새로운 피싱 공격이 발견됐다. 피해자들에게는 일종의 피싱 이메일이 먼저 전달되는데, 여기에는 한 개의 링크가 걸려 있다. 구글 독스에 호스팅 되어 있는 문서로 연결되는 링크다. 누르면 구글 독스 페이지로 넘어가며 다운로드가 가능한 것처럼 보이는 문서가 화면에 나타난다.
[이미지 = utoimage]
여기에는 함정이 있다. 구글의 공유 페이지와 똑같이 생겼지만 사실은 공격자들이 만든 웹 페이지로, 겉모양만 똑같다는 것이다. 여기에 속아 문서 다운로드를 시도하면 악성 피싱 웹사이트로 다시 접속되는데, 이번에는 구글 독스의 로그인 페이지와 100% 똑같이 생긴 페이지가 나타난다. 여기에 사용자 이름과 비밀번호를 입력하면 그 정보가 공격자의 서버로 흘러간다.
보안 업체 아바난(Avanan)의 CEO인 질 프리드리히(Gil Friedrich)는 “이러한 방식으로 구글 독스가 남용되는 방식은 처음 본다”며 “공격자가 임의로 만든 웹 페이지를 만들기 위해 구글 독스를 사용한 것”이라고 정리한다. 보통 공격자들은 알려지지 않은 작은 회사의 웹사이트에 악성 콘텐츠를 몰래 호스팅하는데, 이 경우 피해자들은 해당 사이트에 대한 접근을 허용하지 않는 것만으로도 공격을 봉쇄할 수 있게 된다.
“하지만 구글 서비스를 차단할 수 있는 회사는 없습니다. 즉 구글의 서비스를 공격에 활용하는 데 성공한다면, 방어자 입장에서 정적 보호막을 치기가 매우 어려워진다는 겁니다. 그렇다면 피싱 공격에 활용되는 페이지의 링크만 막으면 되지 않을까 하는 의문이 생길 수 있습니다. 그런데 공격자 입장에서는 새로운 파일을 구글 서비스에 생성하면 됩니다. 전혀 비용이 들지 않거든요.” 프리드리히의 설명이다.
심지어 공격의 난이도도 상당히 낮은 편이다. 구글이 귀찮은 일들을 공격자 대신 해 주기 때문이다. 공격자가 해야 할 일은 구글 독스 파일 공유 페이지와 똑같이 생긴 웹 페이지를 하나 개발하는 것 뿐이다. 그리고 그 파일을 구글 드라이브에 업로드시키면 된다. 그러면 구글이 파일을 스캔하고 자동으로 웹 페이지를 만들어 준다. 그러면 공격자는 그 페이지를 퍼블리시 하고, 새로 생긴 주소를 피싱 콘텐츠에 삽입하면 그만이다.
“구글의 서비스를 활용해 악의적인 일을 하는 것이 이번 공격의 핵심입니다. 구글의 서비스를 해킹하거나 한 게 아니죠. 그러니 구글로서도 딱히 취할 수 있는 방법이 없습니다. 공격자들도 구글 서비스를 잘 활용할 줄 아는 사용자 수준만 되면 얼마든지 크리덴셜을 훔칠 수 있게 됩니다. 딱히 프로그래머가 될 필요도 없죠. 그렇기에 기술적으로 뛰어나지 않더라도 난감한 공격 방식이라고 볼 수 있습니다.”
사실상 구글이 할 수 있는 일은 이번 공격에 악용되고 있는 기능들을 전부 차단하는 것밖에 없다. 아니라면 임베드 기능을 사용해 퍼블리시할 수 있는 콘텐츠를 구글이 검열하고 제한해야 한다는 건데, 이럴 때의 반발은 더 클 것으로 예상된다. 심지어 효과도 없을 것이라고 프리드리히는 예상한다. “해커들은 반드시 그러한 장치들을 우회할 방법을 찾아낼 것이거든요. 결국 사용자들과 구글의 마찰만 일어날 뿐 공격을 실효성 있게 막지는 못합니다.”
공격자들은 구글 독스만이 아니라 AWS와 마이크로소프트 애저 등과 같은 클라우드 서비스들을 공격에 점점 더 많이 활용하고 있다. 공격자들은 클라우드에 호스팅 된 저장 공간과 각종 서비스들과 자동 기능들을 공격에 악용하는 방법들을 계속해서 연구하고 있다. 보안 업체 프루프포인트(Proofpoint)에 의하면 이러한 공격은 계속해서 증가하고 있으며, 2021년 1사분기에만 MS 365를 악용한 공격 7백만 건, 구글 클라우드 서비스를 악용한 공격 4500만 건을 발견했다고 한다.
“해커들은 반드시 고급스럽고 천재적인 방법만으로 우리를 공략하는 게 아닙니다. 다크웹에서 일반인들은 전혀 알지 못하는 그들만의 도구만 사용하는 것도 아닙니다. 공격자들은 우리와 똑같이 우리가 사용하는 서비스들을 공격에 이용합니다. 이러한 방식은 공격에 투자되는 비용이 극히 낮다는 장점이 있어 공격자들 사이에서 연구는 앞으로도 이어질 것이므로, 조직 차원에 대응이 필요합니다.” 프리드리히의 설명이다.
3줄 요약
1. 구글 독스의 기능을 악용한 사이버 공격 발견됨.
2. 피싱 페이지 자체를 구글 독스로 만드는 것으로, 파일이 탐지되더라도 공격자는 파일 이름만 바꿔서 업로드 하면 끝이므로 무한히 공격을 반복할 수 있음.
3. 클라우드 서비스를 정상적으로 사용해 악성 공격을 실시하는 전략, 계속 연구됨.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 구글 독스를 활용한 새로운 피싱 공격이 발견됐다. 피해자들에게는 일종의 피싱 이메일이 먼저 전달되는데, 여기에는 한 개의 링크가 걸려 있다. 구글 독스에 호스팅 되어 있는 문서로 연결되는 링크다. 누르면 구글 독스 페이지로 넘어가며 다운로드가 가능한 것처럼 보이는 문서가 화면에 나타난다.
[이미지 = utoimage]
여기에는 함정이 있다. 구글의 공유 페이지와 똑같이 생겼지만 사실은 공격자들이 만든 웹 페이지로, 겉모양만 똑같다는 것이다. 여기에 속아 문서 다운로드를 시도하면 악성 피싱 웹사이트로 다시 접속되는데, 이번에는 구글 독스의 로그인 페이지와 100% 똑같이 생긴 페이지가 나타난다. 여기에 사용자 이름과 비밀번호를 입력하면 그 정보가 공격자의 서버로 흘러간다.
보안 업체 아바난(Avanan)의 CEO인 질 프리드리히(Gil Friedrich)는 “이러한 방식으로 구글 독스가 남용되는 방식은 처음 본다”며 “공격자가 임의로 만든 웹 페이지를 만들기 위해 구글 독스를 사용한 것”이라고 정리한다. 보통 공격자들은 알려지지 않은 작은 회사의 웹사이트에 악성 콘텐츠를 몰래 호스팅하는데, 이 경우 피해자들은 해당 사이트에 대한 접근을 허용하지 않는 것만으로도 공격을 봉쇄할 수 있게 된다.
“하지만 구글 서비스를 차단할 수 있는 회사는 없습니다. 즉 구글의 서비스를 공격에 활용하는 데 성공한다면, 방어자 입장에서 정적 보호막을 치기가 매우 어려워진다는 겁니다. 그렇다면 피싱 공격에 활용되는 페이지의 링크만 막으면 되지 않을까 하는 의문이 생길 수 있습니다. 그런데 공격자 입장에서는 새로운 파일을 구글 서비스에 생성하면 됩니다. 전혀 비용이 들지 않거든요.” 프리드리히의 설명이다.
심지어 공격의 난이도도 상당히 낮은 편이다. 구글이 귀찮은 일들을 공격자 대신 해 주기 때문이다. 공격자가 해야 할 일은 구글 독스 파일 공유 페이지와 똑같이 생긴 웹 페이지를 하나 개발하는 것 뿐이다. 그리고 그 파일을 구글 드라이브에 업로드시키면 된다. 그러면 구글이 파일을 스캔하고 자동으로 웹 페이지를 만들어 준다. 그러면 공격자는 그 페이지를 퍼블리시 하고, 새로 생긴 주소를 피싱 콘텐츠에 삽입하면 그만이다.
“구글의 서비스를 활용해 악의적인 일을 하는 것이 이번 공격의 핵심입니다. 구글의 서비스를 해킹하거나 한 게 아니죠. 그러니 구글로서도 딱히 취할 수 있는 방법이 없습니다. 공격자들도 구글 서비스를 잘 활용할 줄 아는 사용자 수준만 되면 얼마든지 크리덴셜을 훔칠 수 있게 됩니다. 딱히 프로그래머가 될 필요도 없죠. 그렇기에 기술적으로 뛰어나지 않더라도 난감한 공격 방식이라고 볼 수 있습니다.”
사실상 구글이 할 수 있는 일은 이번 공격에 악용되고 있는 기능들을 전부 차단하는 것밖에 없다. 아니라면 임베드 기능을 사용해 퍼블리시할 수 있는 콘텐츠를 구글이 검열하고 제한해야 한다는 건데, 이럴 때의 반발은 더 클 것으로 예상된다. 심지어 효과도 없을 것이라고 프리드리히는 예상한다. “해커들은 반드시 그러한 장치들을 우회할 방법을 찾아낼 것이거든요. 결국 사용자들과 구글의 마찰만 일어날 뿐 공격을 실효성 있게 막지는 못합니다.”
공격자들은 구글 독스만이 아니라 AWS와 마이크로소프트 애저 등과 같은 클라우드 서비스들을 공격에 점점 더 많이 활용하고 있다. 공격자들은 클라우드에 호스팅 된 저장 공간과 각종 서비스들과 자동 기능들을 공격에 악용하는 방법들을 계속해서 연구하고 있다. 보안 업체 프루프포인트(Proofpoint)에 의하면 이러한 공격은 계속해서 증가하고 있으며, 2021년 1사분기에만 MS 365를 악용한 공격 7백만 건, 구글 클라우드 서비스를 악용한 공격 4500만 건을 발견했다고 한다.
“해커들은 반드시 고급스럽고 천재적인 방법만으로 우리를 공략하는 게 아닙니다. 다크웹에서 일반인들은 전혀 알지 못하는 그들만의 도구만 사용하는 것도 아닙니다. 공격자들은 우리와 똑같이 우리가 사용하는 서비스들을 공격에 이용합니다. 이러한 방식은 공격에 투자되는 비용이 극히 낮다는 장점이 있어 공격자들 사이에서 연구는 앞으로도 이어질 것이므로, 조직 차원에 대응이 필요합니다.” 프리드리히의 설명이다.
3줄 요약
1. 구글 독스의 기능을 악용한 사이버 공격 발견됨.
2. 피싱 페이지 자체를 구글 독스로 만드는 것으로, 파일이 탐지되더라도 공격자는 파일 이름만 바꿔서 업로드 하면 끝이므로 무한히 공격을 반복할 수 있음.
3. 클라우드 서비스를 정상적으로 사용해 악성 공격을 실시하는 전략, 계속 연구됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
