보안 컨설팅 업체인 식씨어리(SecTheory) 설립자 로버트 핸슨(Robert Hanson)은 공격자가 사용자의 아이구글 홈페이지에 강제적으로 구글 가젯을 설치할 수 있어, 사용자의 검색 히스토리와 ID 비밀번호 등 개인 정보를 알아낼 수 있다고 경고했다.
핸슨은 “브라우저가 한번 공격을 당하면, 피해규모가 천정부지로 커진다”라며, “또한, 사용자가 구글을 신뢰하기 때문에 더 많은 피해가 발생할 것”이라고 말했다.
더불어, 악성 가젯 공격에 가장 취약한 사용자는 지메일 사용자라고 지적했다. 로그인을 해야 하기 때문에 ID와 비밀번호가 쉽게 유출된다는 것. 공격이 이뤄지는 방식은 사용자가 스스로 아이구글 홈페이지에 악성 구글 모듈을 설치하도록 속이는 것이다. 핸슨은 “구글 가젯 사용자는 거의 자바스크립트나 평범한 웹 브라우저를 사용하고 있는데, 이 경우 다양한 다른 종류의 공격에도 쉽게 당할 수 있다”라고 덧붙였다.
한편, 센직(Cenzic) 수석 보안 분석가인 톰 스트레시너(Tom Stracener)는 구글 가젯을 이용한 공격 형태를 정리했다.
가젯은 다른 가젯을 공격할 수 있다. 이런 가젯 공격으로 사용자의 쿠키나 기밀 정보가 유출될 수 있다.
가젯은 사용자를 공격할 수 있다. 가젯을 이용한 사용자 공격의 형태는 피싱부터 사이트간 위조까지 다양하게 나타난다. 사용자가 링크를 따라가거나 클릭하면, 의도하지 않은 제 3 웹 사이트가 뜨는 형식으로 공격이 이뤄진다.
가젯을 자동으로 추가할 수 있다. 공격자는 악성 웹 페이지를 통해 사용자의 아이구글 홈페이지에 악성 가젯을 사용자 몰래 설치하고 , 가젯 기반의 맬웨어를 퍼뜨린다.
구글 대체계정으로 로그인할 수 있다. 가젯은 대체계정을 통해 사용자로 로그인해서 검색 쿼리를 감시할 수 있다.
스트레시너는 “현재는 구글 가젯 맬웨어로 인한 기업차원의 피해가 적지만, 구글 가젯 사용이 일반 사용자에서 기업용 사용자로 넘어가고 있는 만큼, 기업 사용자의 보안 위험도 커질 것이다”라고 지적했다.