• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

구글, 오쓰 화이트리스팅으로 지스위트 솔루션 강화 2017.07.07

은둔의 IT 사용 관리할 수 있게 돼...관리자 권한도 높아져
유명한 앱에 대한 신뢰를 노리는 공격...수일 안에 단계별로 업데이트

[보안뉴스 문가용 기자] 구글이 자사의 지스위트(G Suit) 보안을 강화하고 나섰다. 방법은 오쓰(OAuth) 앱 화이트리스팅을 적용하는 것이다. 지스위트에 오쓰 화이트리스팅을 결합하면 데이터 접근 통제와 관련된 걱정을 많이 덜 수 있다고 한다.

[이미지 = iclickart]


구글의 목표는 관리자들에게 가시성을 제공해 어떤 앱들이 지스위트의 데이터에 접근하고 있는지 파악하게 하고, 검증된 오쓰 앱들을 통해 접근을 통제하며, 비인가 앱 설치를 막아 지스위트 데이터를 보호하는 것이다. 쉽게 말해 은둔의 IT(shadow IT)가 발생시키는 리스크를 줄이는 것이라고 볼 수 있다.

관리자들은 오쓰 앱 화이트리스팅을 사용해 어떤 앱들로 지스위트 데이터에 접근해도 되는지, 혹은 안 되는지 정할 수 있고, 동시에 어떤 데이터에 앱들이 접근할 수 있는지도 설정할 수 있다. 오쓰의 접근권한 자체도 기업 내 팀이나 단체별로 따로따로 비활성화시킬 수 있다.

앱이 화이트리스트에 올라있으면 사용자들은 해당 앱이 지스위트 앱 데이터에 접근할 수 있도록 권한을 줄 수 있게 된다. 이를 관리자가 설정하면 직원들이 지스위트에 접근할 때 불안전한 앱을 사용할 수 없게 된다. 악의적 내부자도 막을 수 있을뿐 아니라 순수 실수도 방지할 수 있게 되는 것이다.

“지스위트 앱이 아닌 서드파티 앱을 통해 지스위트 앱 데이터에 접근하는 건 굉장히 위험할 수 있는 행위입니다. 많은 기업들이 이 부분에 걱정이 많습니다.” 지스위트의 제품 관리 책임자인 리시 단드(Rishi Dhand)의 설명이다. “다양한 공격 가능성이 열리게 되죠. 데이터의 종류에 따라 리스크 정도도 크게 달라질 수 있고요.”

지스위트의 보안 강화 작업이 끝나면, 사용 가능한 앱을 선택할 수 있는 관리자의 권한과 책임이 매우 커지게 된다. 관리자로서도 갑작스러울 수 있는 변화라 뭘 어떤 기준으로 어떻게 선택해야 할지 모를 수 있다. 단드는 이에 대해 “다음 질문을 통해 앱을 선택하라”고 권한다.

1) 현재 데이터 접근 관련 정책과 서드파티 앱이 요청하는 접근 권한은 서로 호환되는가?
2) 서드파티 앱이 요구하는 데이터 접근 권한이, 그 앱의 기능과 관련이 있는 것들인가? 예를 들어 달력 앱이 구글 드라이브에 접근하고자 한다면, 의심해봐야 한다는 것이다.
3) 앱 개발자는 보안에 어떤 식으로 접근하고 있는가? 사용자 데이터 처리 방침에 대해 공개한 내용이 있는가?

구글이 이런 방안을 내놓은 것은 악성 앱을 통해 사용자를 속여 민감한 데이터에 접근하는 여러 사이버 범죄 행위를 근절시키기 위함이라고 볼 수 있다. 최근엔 새로운 크리덴셜 피싱 공격법도 등장했는데 이 기법의 이름은 오쓰 피싱(OAuth phishing)이다. 공격자가 계속해서 사용자 계정에 접근할 수 있도록 오쓰 표준을 악용하는 것이 이 공격법의 골자다. 일반적인 피싱 공격과 그 형태가 매우 다르기 때문에 사용자들이 쉽게 속고, 실제 성공률도 높다. 유명 앱들에 대한 사용자들의 신뢰를 노린 공격이라고도 볼 수 있다.

오쓰 공격이 보안 업계의 주목을 받은 건 지난 5월 3일 구글 독스에서 발생한 피싱 사기 공격이 발견되면서부터다. 구글 독스 문서니 당연히 안전하겠거니 하고 사용자들이 신뢰해버렸으며, 그 때문에 악성 링크를 클릭해 1백만 명 이상이 당한 것이다. 이 공격에 당한 사용자들은 구글 계정에 대한 크리덴셜을 해커들에게 넘겨준 것과 다름없게 되었으며, 해커들은 여기서 탈취한 정보들로 구글 드라이브 등에 접속해 더 많은 정보들을 빼돌릴 수 있었다.

지스위트 업데이트는 단계별로 발표될 예정이라고 구글은 발표했다. 관리자 콘솔을 통해 업그레이드가 가능하며, 수일 안에 첫 패치가 나올 것이라고 한다. 지스위트 사용자들은 패치를 통해 데이터 접근에 대한 실수나 공격을 크게 방지할 수 있을 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>