보안 / 클라우드 오피스

구글 문서 피싱 공격 대응 "애플리케이션 리뷰 절차 강화한다"

Lucian Constantin | IDG News Service 2017.05.15
구글이 최근 구글 OAuth 서비스를 악용해 개인 지메일 계정에 액세스하는 신종 공격에 대비해 사용자 데이터를 요청하는 웹 애플리케이션 리뷰에 나섰다.

목적은 앱이 사용자의 의도에 반하지 않아야 한다는 API를 통해 사용자 데이터 액세스 정책을 강화하는 것이다. 구글은 서드파티 앱의 등록 절차, 위험 평가 시스템, 사용자용 개인정보 동의 페이지 등을 변경했다.

구글은 ID 제공 업체이므로 다른 웹 애플리케이션의 액세스 인증 메커니즘으로 활용되고, 애플리케이션은 구글 OAuth 프로토콜을 사용한다. 또한, 애플리케이션은 구글 API로 구글 서비스에 저장된 정보를 요청할 수 있다.

지난주 많은 사용자들이 구글 문서 도구에서 문서 보기를 요청하는 가짜 피싱 이메일을 받았다. 구글 문서 보기처럼 꾸며진 가짜 링크를 클릭하면, 구글 OAuth 승인 페이지로 리디렉션되었고, 이 페이지에서는 사용자 연락처, 지메일 계정의 액세스를 요구했다.

이 스푸핑 공격이 성공한 이유는 구글 OAuth 서비스에 등록된 서드파티 앱이 구글 자체 앱이나 다른 합법적인 개발사 앱과 똑같은 이름을 쓸 수 없게 하는 메커니즘이 없었기 때문이었다.

공격 직후 구글은 새로운 애플리케이션에 대한 위험 평가 시스템을 강화하고, 빠른 악용 사례 감지를 위해 여러 가지 변경 작업을 수행했다. 구글 아이덴티티 부서는 블로그를 통해 앱 개발사가 구글 api 콘솔, 파이어베이스 콘솔, 앱 스크립트 편집기에서 새로운 애플리케이션을 등록하거나 기존 애플리케이션을 수정할 때 오류 메시지를 보게 된다고 밝혔다.

또한, 강화된 위험 평가 결과에 따라 일부 웹 애플리케이션은 3~7일 정도 소요되는 수동 검토 및 승인 프로세스를 거쳐야 한다. 구글 아이덴티티 부서는 “검토가 완료될 때까지 사용자는 데이터 사용 권한을 승인할 수 없고, 사용 권한 동의 페이지 대신 오류 메시지가 표시된다”고 말했다.

현재 개발사는 애플리케이션 테스트 단계에서만 검토를 요청할 수 있지만, 앞으로는 등록 단계에서도 검토 요청이 허용될 예정이다.

또, 앱 검토까지 개발사는 자체 계정으로 앱을 테스트하고, 테스터 계정을 추가할 수 있게 된다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.