사이버 공격자들은 유명 브랜드를 좋아한다. 유명한 것에 대한 일반 사용자들의 신뢰도가 높기 때문이다. 그래서 구글의 각종 서비스들은 공격에 자주 악용된다. 이번에도 그러한 사건이 벌어졌다.

[보안뉴스 문가용 기자] 구글 독스의 주석(comment) 기능을 악용하여 악성 링크를 유포하는 피싱 캠페인이 발견됐다. 이를 발견한 보안 업체 아바난(Avanan)은 구글이라는 브랜드가 가진 신뢰도를 악용하는 흔한 캠페인 중 하나라며, 앞으로도 계속해서 새로운 공격 기법이 개발되고 발견될 것이라고 밝혔다.


이번에 아바난이 발견한 피싱 공격에서 해커들이 사용하는 기법은 지난 해 12월부터 목격된 것으로, 주로 아웃룩 사용자들을 노리고 있다고 한다. 공격자들은 100여개의 고유 지메일 계정을 사용해 공격을 실시하고 있으며, 현재까지 500여개의 메일함을 침해하는 데 성공한 것으로 보인다.

공격자는 제일 먼저 구글 독스 문서를 만들고 악성 링크가 포함된 주석을 덧붙인다. 그리고 @ 기호를 사용해 피해자를 주석 기능 내에서 지목한다. 이렇게 함으로써 공격자는 피해자에게 구글 독스 파일로 연결되는 링크를 이메일로 자동 전송하게 된다. 이메일은 공격자가 작성한 주석을 그대로 노출시키는데, 여기에는 악성 링크도 포함되어 있다.

이 기법의 핵심은 구글로부터 직접 이메일 알림이 전송된다는 것이다. 구글이 직접 보내는 알림 메일은 대부분의 사용자가 의심 없이 열며, 보안 솔루션들도 거르지 않는다. 그렇기에 공격자들에게는 매우 매력적인 공격 기법일 수밖에 없다. 게다가 공격자의 이메일 주소도 노출되지 않는다. 그러니 사용자와 보안 솔루션의 의심은 더더욱 요원한 것이 될 수밖에 없다.

공격자에게 있어 공격 효율 역시 뛰어난 편이다. 구글의 지메일 계정을 만드는 건 간단하며 저렴하다. 주석을 한 줄 추가하는 것도 매우 쉬운 일이다. 표적에게 메일은 자동으로 전송된다. 피해자는 구글로부터 알림 메일을 받았을 뿐이니, 쉽게 공격을 허용한다. 공격자는 이 기법을 활용해 멀웨어를 유포할 수도, 크리덴셜을 훔칠 수도 있으며, 그 외 다른 악성 행위들도 할 수 있다.

심지어 피해자가 문서를 열어보지 않아도 공격은 성립한다. 문서가 아니라, 문서로 인해 전송되는 알림 이메일 내에 악성 링크가 포함되어 있기 때문이다. 피해자와 파일을 공유할 필요도, 피해자의 파일 열람을 유도할 필요도 없는 것이다. 그저 주석에 피해자만 언급하면 된다.

이 공격 기법은 구글 독스를 통해 구현됐지만 이론 상 구글 슬라이즈(Google Slides)를 통해서도 구현이 가능하다고 한다. 아바난은 이러한 사실들을 전부 종합해 지난 1월 3일, 구글 측에 알렸다. 아직 구글의 기술적 조치나 패치가 이뤄지지는 않았다.

3줄 요약
1. 구글 독스의 주석 기능 악용한 피싱 캠페인 발견됨.
2. 공격자는 구글 계정을 만들어 주석 기능만 활용하면 공격이 끝남.
3. 간단하면서도 성공률 높은 공격, 아직 기술적 조치는 이뤄지지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>