보안

“구글 가젯 보안 위험성 높아”

Shawna McAlearney | CIO 2008.08.11
지난 7일 끝난 블랙햇에서 구글 가젯이 보안에 취약하다는 지적이 나왔다.

보안 컨설팅 업체인 식씨어리(SecTheory) 설립자 로버트 핸슨(Robert Hanson)은 공격자가 사용자의 아이구글 홈페이지에 강제적으로 구글 가젯을 설치할 수 있어, 사용자의 검색 히스토리와 ID 비밀번호 등 개인 정보를 알아낼 수 있다고 경고했다.

핸슨은 브라우저가 한번 공격을 당하면, 피해규모가 천정부지로 커진다라며, “또한, 사용자가 구글을 신뢰하기 때문에 더 많은 피해가 발생할 것이라고 말했다.

더불어, 악성 가젯 공격에 가장 취약한 사용자는 지메일 사용자라고 지적했다. 로그인을 해야 하기 때문에 ID와 비밀번호가 쉽게 유출된다는 것. 공격이 이뤄지는 방식은 사용자가 스스로 아이구글 홈페이지에 악성 구글 모듈을 설치하도록 속이는 것이다. 핸슨은 구글 가젯 사용자는 거의 자바스크립트나 평범한 웹 브라우저를 사용하고 있는데, 이 경우 다양한 다른 종류의 공격에도 쉽게 당할 수 있다라고 덧붙였다.

한편, 센직(Cenzic) 수석 보안 분석가인 톰 스트레시너(Tom Stracener)는 구글 가젯을 이용한 공격 형태를 정리했다.

가젯은 다른 가젯을 공격할 수 있다. 이런 가젯 공격으로 사용자의 쿠키나 기밀 정보가 유출될 수 있다.

가젯은 사용자를 공격할 수 있다. 가젯을 이용한 사용자 공격의 형태는 피싱부터 사이트간 위조까지 다양하게 나타난다. 사용자가 링크를 따라가거나 클릭하면, 의도하지 않은 제 3 웹 사이트가 뜨는 형식으로 공격이 이뤄진다.

가젯을 자동으로 추가할 수 있다. 공격자는 악성 웹 페이지를 통해 사용자의 아이구글 홈페이지에 악성 가젯을 사용자 몰래 설치하고 , 가젯 기반의 맬웨어를 퍼뜨린다.

구글 대체계정으로 로그인할 수 있다. 가젯은 대체계정을 통해 사용자로 로그인해서 검색 쿼리를 감시할 수 있다.

스트레시너는 현재는 구글 가젯 맬웨어로 인한 기업차원의 피해가 적지만, 구글 가젯 사용이 일반 사용자에서 기업용 사용자로 넘어가고 있는 만큼, 기업 사용자의 보안 위험도 커질 것이다라고 지적했다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.