2015.04.30

구글, 크롬 확장 프로그램 '비밀번호 경보' 출시..."피싱 공격 방지에 주력"

이수경 기자 | ITWorld
지난 29일(현지 시각) 구글은 일반 및 엔터프라이즈 사용자의 구글 계정 보안 수준을 높여주는 크롬 브라우저 확장 프로그램을 선보였다.

비밀번호 경보(Password Alert) 확장 프로그램accounts.google.com외의 웹사이트에서 구글 계정 로그인 아이디와 비밀번호를 입력할 경우 사용자에게 알림을 준다. 즉, 잠재적인 피싱 공격을 막기 위해 이와 같은 서비스를 제공하는 것이다. 구글 포 워크(Google for Work) 도메인의 경우, 관리자가 허용한 웹사이트는 알림 예외 대상이다.

사용자가 확장 프로그램을 설치한 후 accounts.google.com에 로그인하면 비밀번호 경보가 작동된다. 자바스크립트가 적용된 크롬 웹 브라우저에서만 동작하며, 시크릿 모드, 크롬 앱, 크롬 확장 프로그램에서는 비밀번호 경보가 울리지 않는다.

실제로 다음이나 네이버 등 비구글 서비스 로그인 입력창에 구글 계정 아이디와 비밀번호를 입력하자 다음과 같은 '지메일 비밀번호 재설정' 알림 화면이 떴다. 구글은 구글 로그인 페이지가 가짜인지 진짜인지를 판별해 사용자에게 알려주기 위해 해당 확장 프로그램을 출시했다고 밝혔다.

또한, 구글은 비밀번호 경보는 사용자 아이디나 비밀번호를 디스크에 저장하거나 다른 원격 시스템으로 전송하지 않으며, 대신 사용자가 크롬에서 최근 입력한 내용을 비교하기 위해 비밀번호의 보안 썸네일을 저장한다고 덧붙였다. 보안 썸네일은 사용자가 구글 계정에 성공적으로 로그인할 때마다 올바른 비밀번호에 대한 임시 액세스 권한을 부여받은 비트를 축소한 형태다.

만일 위와 같은 비밀번호 경보 화면이 뜰 경우, 필요하다면 비밀번호를 재설정할 수 있다. 구글은 “절대로 다른 서비스에서 지메일 비밀번호를 사용하지 말라”는 안내 문구를 표시했다. 즉, 모든 사이트마다 각각 다른 비밀번호를 설정하기를 권고한 것이다.

CIO의 매트 캡코가 쓴 기사에 따르면, 지메일로 수신하는 모든 메시지 가운데 약 2%는 구글 계정의 비밀번호를 탈취하는 것에 목적을 두고 있으며, 가장 효과적인 피싱 공격의 성공률은 45%에 육박하는 것으로 알려졌다.

구글 앱스 포 워크의 보안 담당자인 에란 파이겐바움은 “나쁜 의도를 가진 사이트인지 아닌지를 사용자가 판단하는 것은 정말 어려운 일이다”며, 구글러들조차 희생자를 최소화하는 데 실패할 수도 있음을 덧붙였다.

한편, 구글은 비밀번호 경보에 관한 전체 FAQ 페이지에서 크롬에 자체적으로 내장된 안전 브라우징과의 차이점에 관해 기술했다. 구글은 “크롬 안전 브라우징은 피싱이나 악성 코드가 포함된 것으로 의심되는 웹사이트를 감지할 수 있으나, 거짓 로그인 페이지를 탐지하지 못하는 경우가 많다”며, “비밀번호 경보는 웹사이트에 비밀번호를 입력하여 전송하기 전에 해당 페이지가 구글을 사칭한 사이트인지를 알려준다”고 말했다. editor@itworld.co.kr 


2015.04.30

구글, 크롬 확장 프로그램 '비밀번호 경보' 출시..."피싱 공격 방지에 주력"

이수경 기자 | ITWorld
지난 29일(현지 시각) 구글은 일반 및 엔터프라이즈 사용자의 구글 계정 보안 수준을 높여주는 크롬 브라우저 확장 프로그램을 선보였다.

비밀번호 경보(Password Alert) 확장 프로그램accounts.google.com외의 웹사이트에서 구글 계정 로그인 아이디와 비밀번호를 입력할 경우 사용자에게 알림을 준다. 즉, 잠재적인 피싱 공격을 막기 위해 이와 같은 서비스를 제공하는 것이다. 구글 포 워크(Google for Work) 도메인의 경우, 관리자가 허용한 웹사이트는 알림 예외 대상이다.

사용자가 확장 프로그램을 설치한 후 accounts.google.com에 로그인하면 비밀번호 경보가 작동된다. 자바스크립트가 적용된 크롬 웹 브라우저에서만 동작하며, 시크릿 모드, 크롬 앱, 크롬 확장 프로그램에서는 비밀번호 경보가 울리지 않는다.

실제로 다음이나 네이버 등 비구글 서비스 로그인 입력창에 구글 계정 아이디와 비밀번호를 입력하자 다음과 같은 '지메일 비밀번호 재설정' 알림 화면이 떴다. 구글은 구글 로그인 페이지가 가짜인지 진짜인지를 판별해 사용자에게 알려주기 위해 해당 확장 프로그램을 출시했다고 밝혔다.

또한, 구글은 비밀번호 경보는 사용자 아이디나 비밀번호를 디스크에 저장하거나 다른 원격 시스템으로 전송하지 않으며, 대신 사용자가 크롬에서 최근 입력한 내용을 비교하기 위해 비밀번호의 보안 썸네일을 저장한다고 덧붙였다. 보안 썸네일은 사용자가 구글 계정에 성공적으로 로그인할 때마다 올바른 비밀번호에 대한 임시 액세스 권한을 부여받은 비트를 축소한 형태다.

만일 위와 같은 비밀번호 경보 화면이 뜰 경우, 필요하다면 비밀번호를 재설정할 수 있다. 구글은 “절대로 다른 서비스에서 지메일 비밀번호를 사용하지 말라”는 안내 문구를 표시했다. 즉, 모든 사이트마다 각각 다른 비밀번호를 설정하기를 권고한 것이다.

CIO의 매트 캡코가 쓴 기사에 따르면, 지메일로 수신하는 모든 메시지 가운데 약 2%는 구글 계정의 비밀번호를 탈취하는 것에 목적을 두고 있으며, 가장 효과적인 피싱 공격의 성공률은 45%에 육박하는 것으로 알려졌다.

구글 앱스 포 워크의 보안 담당자인 에란 파이겐바움은 “나쁜 의도를 가진 사이트인지 아닌지를 사용자가 판단하는 것은 정말 어려운 일이다”며, 구글러들조차 희생자를 최소화하는 데 실패할 수도 있음을 덧붙였다.

한편, 구글은 비밀번호 경보에 관한 전체 FAQ 페이지에서 크롬에 자체적으로 내장된 안전 브라우징과의 차이점에 관해 기술했다. 구글은 “크롬 안전 브라우징은 피싱이나 악성 코드가 포함된 것으로 의심되는 웹사이트를 감지할 수 있으나, 거짓 로그인 페이지를 탐지하지 못하는 경우가 많다”며, “비밀번호 경보는 웹사이트에 비밀번호를 입력하여 전송하기 전에 해당 페이지가 구글을 사칭한 사이트인지를 알려준다”고 말했다. editor@itworld.co.kr 


X