요약 : 보안 블로그 시큐리티어페어즈에 의하면 토큰을 악용하여 사라지지 않는 구글 쿠키를 생성하는 방법이 있는데, 이를 공격자가 악용할 경우 피해자가 비밀번호를 변경한다고 하더라도 계속해서 피해자의 시스템에 접근하는 게 가능하다고 한다. 이 지속형 쿠키 생성 기능은 구글 오오스 엔드포인트에 있는 멀티로긴(MultiLogin)이라는 이름으로 존재하는데, 구글의 그 어떤 공식 문건에서도 이 기능이 정식으로 언급된 적은 없다. 이미 정보 탈취를 위주로 하는 사이버 공격 단체들은 이 기능을 악용해 정보를 수집하고 있다고 보안 업체 클라우드섹(CloudSEK)은 경고하고 있다.


배경 : 공개되지 않은 채 숨어 있던 기능인 멀티로긴이 발견된 건 2023년 10월의 일이다. 프리즈마(PRISMA)라고 하는 이름의 개발자가 제일 처음 공개했다. 멀티로긴은 여러 다양한 서비스들과 구글 계정을 한꺼번에 동기화 하는 데 활용되는 기능인 것으로 보인다. 현재 사용자 세션을 파악하기 위해 구글 계정 ID와 로그인 토큰 등의 민감한 정보를 처리한다.

말말말 : “아직 구글은 이러한 기능에 대해서는 물론 공격자들의 익스플로잇에 대해서 확인하는 중입니다. 따라서 아직까지 이 공격에 대한 안전 대책은 없습니다. 공격자들이 이 특징을 익스플로잇 하기로 결정하면 매우 은밀하게 오랜 시간 정보를 빼갈 수 있습니다.” -클라우드섹-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>