구글은 긱컨디션닷컴(GeekCondition.com)이 주장하고 있는 지메일(Gmail) 취약성에 대해 정면으로 반박했다.

긱컨디션닷컴이 지난 23일(현지 시각) 공격자들이 지메일 사용자가 인식하지 못 한 채 악성 메시지 필터를 생성하게 만드는 취약점에 대해 경고한 내용에 대해 구글은 해당 이슈는 웹 도메인 소유자에 대한 피싱 공격의 일례일 뿐, 지메일의 취약성은 아니라고 주장했다.

이 블로그는 공격자들이 지메일 메시지를 하이재킹 할 수 있다고 주장했다. 즉, 피해자의 지메일 계정으로 발송된 메시지를 휴지통으로 리디렉팅하고 공격자에게 복제본을 전달하게 한다는 것이다.

그러나 이에 대해 구글은 해당 문제의 원인은 지메일의 취약성이 아니라 공격자들이 웹 도메인 소유자를 속여 정보를 탈취할 목적으로 사용하는  피싱 기술이라고 설명했다.

구글은 블로그를 통해 “공격자들은 웹 도메인 소유자들에게 커스터마이징 된 이메일을 발송해 사용자 이름과 패스워드를 추출할 목적으로 만든 ‘google-hosts.com’ 등의 허위 웹사이트를 방문하도록 유도했다”며 “공격자들이 사용자의 비밀 정보를 획득하게 되면 손상된 계정을 원하는 대로 수정할 수 있다”고 설명했다. 아울러 이러한 허위 사이트들은 구글과 어떠한 연관도 없다고 강조하며 확인한 바에 따르면 현재 모두 오프라인 상태라고 덧붙였다.

또한 구글은 대변인을 통해 소수의 사용자들만이 해당 피싱 기술에 영향을 받았다고 주장했다.

한편, 긱컨디션닷컴의 해당 포스트 작성자인 브랜든(Brandon)은 자신이 주장한 취약성과 관련해 지메일 계정 사용자들에게 “필터를 확인하고 비일상적인 것이 발견되지 않는지 확인해야 한다”며 “특히, 파이어폭스를 사용자라면 노스크립트(NoScript)를 다운받아 이러한 공격을 방지할 수 있다”고 덧붙이면서도 “전체적으로 주의가 필요하다”고 강조했다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>