구글 문서(Google Docs)를 공유하는 이메일을 보내는 방식의 피싱 사고가 나타났다. 이 공격은 기존에 이메일을 주고 받은 사람으로부터 발송되는 방식으로 향후 유사한 공격이 또 발생할 수 있어 주의가 요구된다.

한국인터넷진흥원(KISA)은 19일 보호나라 사이트를 통해 최근 신종 구글 문서 피싱 사고가 발생했다며 사례를 소개하고 주의를 당부했다.

KISA는 이번에 나타난 피싱 공격이 기존과 같이 위조된 구글 로그인 사이트 유도를 통한 계정탈취가 아닌, 구글 서드파티 웹 앱 설치를 유도한 후 사용자의 메일권한을 획득하고 있다고 설명했다.

특히 이 공격은 피해자가 이미 수신한 적 있는 사람의 이메일을 이용하는 것이 특징이다. 기존에 구글 문서를 공유했던 사람으로부터 문서 공유 이메일을 받고 무심코 클릭했다가 피싱을 당하는 것이다.

KISA에 따르면, 이 공격은 우선 공격자가 피해자에게 구글 문서를 공유하는 내용의 메일을 발송하는 것으로 시작된다. 피해자가 메일을 수신한 적이 있는 사람으로부터 피싱 메일을 수신한 후 문서 열기(Open in Docs) URL 버튼을 누르면 현재 로그인한 세션으로 문서를 연결할 계정을 선택하도록 한다. 계정을 선택하면 구승인 페이지를 팝업으로 띄우고 이메일에 대한 전체 권한을 요구한다.

승인 버튼을 클릭할 경우 사용자도 모르게 주소록에 있는 모든 사용자의 메일로 피해자가 받은 피싱 스팸메일을 복사해 발송한다. 이 때문에 지인들과 과거 진짜로 문서를 공유한 사람으로부터 피싱 메일이 수신되는 것이다.

KISA는 구글이 공격에 연관된 계정 정지, 해당 웹 앱 제거, 세이프 브라우징을 통한 피싱 경고 등 긴급대응으로 1시간 이내에 사용자들을 공격으로부터 보호했다고 설명했다. 또 구글이 신종 피싱 공격에 대해 서드파티 웹 앱 및 안드로이드 앱에 대한 앱 등록 절차를 강화했으며 위험 평가 등 앱 검정 프로세스도 강화하고 있다고 소개했다.

이 달 초 외신들은 이번 사건에 대해서 보도했다. CNN은 이번 사건으로 인한 피해 규모가 정확히 알려지지 않았지만 구글 관계자들이 지메일(Gmail) 이용자 중 0.1% 미만의 사람이 영향을 받은 것으로 보고 있다고 설명했다. CNN은 0.1% 피해라고는 하지만 구글 지메일 사용자가 전 세계적으로 10억 명에 달하고 있어 100만 명이 영향을 받았을 수 있다고 지적했다.

외신들은 이번과 유사한 공격이 또 다시 발생할 수 있다고 우려하고 있다.

CNN은 공격의 배후가 정확히 알려지지 않았지만 일부 보안 업체에서는 러시아 해커들이 올해 초부터 이런 방식을 사용하는 것으로 보고 있다고 보도했다. CNN은 보안 전문가들의 주장을 인용해 이번 사건이 랜섬웨어 설치나 (해킹을 통한) 송금 등 더 사악한 사이버공격의 전조일 수 있다고 경고했다.

[테크M = 강진규 기자(viper@techm.kr)]