대량의 구글 사용자 지메일(Gmail) 주소 수집 가능

악성 메일 전송해 피싱 사이트로 유도·정보 탈취 시도 가능 

[보안뉴스 민세아] SpiderLabs의 이스라엘 연구원 Oren Hafif 씨가 구글에서 서비스하는 지메일(Gmail)에서 타인의 이메일주소 정보를 탈취할 수 있는 취약점을 발견했다고 밝혔다.

지메일은 자신의 메일을 다른 구글 계정 소유자가 대신 읽거나 보낼 수 있도록 할 수 있는 메일 사용 권한 부여 기능을 제공한다. 권한 부여자가 특정 이메일을 지정해 권한 부여를 하게 되면 해당 이메일로 권한 수락 또는 거부를 선택할 수 있는 URL링크가 메일 본문에 포함되어 수신된다.

해당 링크에서 거부 주소를 클릭하면, 안내 메시지와 함께 권한을 부여한 사용자 이메일 주소가 화면에 표시되나, URL에서 사용자 보안 토큰을 변경할 경우 타인의 이메일 주소가 노출된다.

취약점은 URL 정보 중 사용자별로 발급되는 보안 토큰(10자리)를 자동화 도구를 통해 무차별 대입(Brute Forcing)할 경우 토큰 값에 일치하는 타인의 구글 이메일 주소를 안내 메세지에서 확인할 수 있다.

지메일 사이트는 이러한 무차별 대입 공격에 대비하기 위해 Anti-bot이라는 방어기법을 기존에 적용하고 있었으나, 요청 URL에서 이메일 정보를 구글 고객 지원 이메일 주소(support@google.com)로 변경해 요청할 경우 무차별 대입을 차단하지 않아 대량의 메일 주소 탈취가 가능했다고 SpiderLabs 측은 언급했다.

한편 현재 구글에서는 해당 취약점에 대한 보안패치를 완료한 상태다. 해당 취약점은 구글 버그바운티에 신고돼 취약점 발견자는 500달러의 포상금을 받았다. 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지나 아래 출처 내용을 참조하면 된다.