서버정보
필독: 오솔길 음악방 운영자 빨강모자님에 대한 공식 입장

  • home
  • 보안/해킹


구글 이메일의 로그인 페이지와 동일한 가짜 페이지로 사용자 속여
로그인 페이지의 주소도 진짜 주소와 흡사... 프로토콜 확인도 필요

[보안뉴스 홍나경 기자] 로그인하려는 웹사이트가 진짜인지 가짜인지 알 수 있는 가장 쉬운 방법은 브라우저 주소창에 적힌 주소를 확인하는 것이다. 하지만 이러한 방법만으로는 충분하지 않을 때가 있다. 최근 몇 주 동안 구글의 지메일 사용자들을 겨냥해 기승을 부린 피싱 공격이 좋은 예다.

ggbody(0).jpg


사실 공격 방식만 본다면 그리 새로울 건 없다. 이전에 해킹 당했던 누군가의 이메일을 통해 그들의 연락처 목록에 있는 또 다른 누군가에게 악성 코드를 퍼트리는 것이다. 이때 악성 코드가 포함되어 있는 이메일을 받는 수신자가 전에 이미 본적이 있거나 익숙한 이미지 또는 첨부파일을 함께 포함하여 이메일을 전달한다. 그리고 실제로 수신자가 이것들을 클릭했을 때 새로운 창이 뜨면서 지메일에 다시 로그인 하라는 내용이 나타난다.

이러한 피싱 페이지는 실제 구글 이메일의 로그인 페이지와 똑같이 만들어졌다. 심지어 주소 창에도 구글 메일 주소임을 나타내는 ‘Accounts.google.com’이 적혀있다. 이에 대해 워드펜스의 CEO 마크 몬더(Mark Maunder)는 “여기에 속아 가짜 로그인 페이지에서 로그인을 하게 되면 해커가 계정을 침입할 수 있게 됩니다”라고 말했다.

사용자들이 이미지를 클릭했을 때 나타나는 가짜 로그인 페이지는 데이터 URI(Data URI) 기법을 사용해 만들어진 인라인 파일이다. 사용자가 구글 아이디와 비밀번호를 입력했을 때 그들의 정보가 해커에게 전송된다.

몬더는 공격자가 피해자의 계정에 로그인함과 동시에 크리덴셜을 훔칠 수 있다고 언급하며 이러한 공격 처리 과정의 속도를 봤을 때 자동으로 공격이 실행되도록 설계되어 있거나 팀을 조직하여 계정에 바로 침입해 정보를 훔칠 수 있도록 대기하고 있는 것일 수도 있다고 언급했다. “해커가 계정에 침투하게 되면 모든 계정 권한을 다 갖게 되기 때문에 이메일을 전송하고 수신하는 것을 할 수 있게 됩니다. 또한, 해커가 모든 이메일들을 다운로드 받았을 수도 있습니다.”

일반인들도 사실 주소창을 보고 쉽게 피싱 사이트인지 아닌지를 구분할 수 있다. 그저 이번 피싱 공격이 더 위험한 이유는 해커들이 사용한 ‘교묘한 수법’ 즉, 주소창에 나타나는 주소가 ‘https://’와 정확한 호스트 네임인 ‘Google’을 포함하고 있는 것 때문이라고 한다. 극도의 유사성 때문에 사용자들이 로그인 페이지에 자신들의 정보를 의심없이 입력할 수밖에 없다는 것. 하지만 좀 더 자세히 가짜 주소를 살펴보면 진짜와의 차이점이 발견된다. ‘data.text/html’가 실제 주소 ‘https://accounts.google.com'의 앞에 삽입돼 있는 것이다.

“사용자들이 주소 창 안에 적혀 있는 주소를 살필 때 호스트 이름뿐 아니라 프로토콜도 살펴야 하는 시대가 됐다고 볼 수 있습니다. 내가 아는 글자나 이름이 주소 창 안에 있다는 게 중요한 게 아니라, 주소 창 안에 있는 글자들 전부가 내가 잘 알고 있는 것이어야 한다는 것이죠. 또 다른 방어법이 있다면 이중 인증입니다. 이 편이 주소를 전부 외우는 것보다 더 간편할 수도 있습니다.”

누데이터 시큐리티(NuData Security)의 부사장 로버트 카프스(Robert Capps)는 새롭게 나타난 지메일 피싱 공격에 대해 “기존 피싱의 가장 대표적인 구별법을 부정한 새로운 공략법”이라고 언급했다. “사용자들은 ‘https://’ 또는 URL에 나타나는 자물쇠 아이콘을 통해 유해 사이트를 구분하는 방식에 익숙한데, 이 점을 해커들이 악용한 것입니다.”

설명은 계속 됐다. “피싱에 관해 잘 알고 있는 이들 뿐만 아니라 많은 일반 사용자들이 기존 유해 사이트 구분 기준에 익숙합니다. 따라서 유해 표시들이 없거나 자신들이 신뢰하고 있는 기준을 통과하면 사이트가 안전하다고 생각해 버리죠.”

웹브라우저 개발자가 기존에 많은 이들에게 신뢰되고 있는 표시들을 다시 생각해봐야할 필요가 있다고 카프스는 주장했다. “브라우저 개발사들은 소비자들이 어떤 기준과 패턴으로 인터넷 사이트나 서비스를 신뢰하는지 잘 분석해야 합니다. 또한 기존에 통용되던 신뢰의 표식들을 바꿔야 할 필요도 있습니다. 당연한 것, 익숙한 것들에 해커들이 즐겨 찾는 꼬투리가 있으니까요.”


[국제부 홍나경 기자(hnk726@boannews.com)]


Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


http://www.boannews.com/media/view.asp?idx=53114&page=1&kind=4


번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 [5] Op 2016.10.16 51
146 알약,V3 이후 10년여 만에 국내 백신 출시 MAX Anti-Virus (공개 베타테스트) j1159 2017.02.20 53
145 진화하는 '한국 맞춤형' 랜섬웨어.. 교육 일정표 위장한 '비너스락커' 변종 국내서 발견 j1159 2017.02.20 13
144 암호화 랜섬웨어 75%, 러시아권 범죄조직서 배포 [7] 쪼쪼 2017.02.17 90
143 자연스런 '한글 이메일'…신종 랜섬웨어 '비너스락커' 주의보 [9] 크로커스 2017.02.14 109
142 백신이 못 막는 랜섬웨어, 윈도가 막나 [14] 크로커스 2017.02.08 441
141 원조 해커는 전기기차 속도를 높이려는 모범생이었다 [8] 구름 2017.02.03 236
140 일반 사용자들이 꼭 실천해야 할 보안 관련 팁 9가지 [13] 구름 2017.02.01 221
139 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 [16] 크로커스 2017.01.31 391
138 “사람 속이는 방법도 가지 가지”… 설연휴, 보안사고 대응 어떻게? [12] file Op 2017.01.27 218
137 슈퍼마리오 런, 악성코드 런? [6] Op 2017.01.27 92
136 '북한민주화' 한글문서, 열람 시 악성코드 감염 [5] 크로커스 2017.01.26 73
135 미국 동부 인터넷 마비 시킨 ‘미라이’ 악성 파일, 국내서도 발견 [7] 크로커스 2017.01.25 141
134 확장자 숨겨 악성 파일 클릭 유도 메일 유포중…랜섬웨어 피해 주의 [12] 크로커스 2017.01.20 162
» 로그인 하기 전에 주소 확인 하셨나요? [12] 크로커스 2017.01.19 159
132 [긴급] 블로거 노린 대규모 피싱 공격 발생...초상권 침해 항의 메일 조심! [12] 크로커스 2017.01.18 104
131 차기 인증 방식으로 떠오르는 이중 인증이란 [6] 크로커스 2017.01.18 158
130 성공가도 달리는 랜섬웨어의 본질은 “속도전” [5] 크로커스 2017.01.18 71
129 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 [11] 크로커스 2017.01.10 157
128 지갑 열기 위한 랜섬웨어의 또 다른 진화, 독스웨어 [8] file 따봉 2017.01.05 236
127 비트코인 대신 다른 인질을 달라는 랜섬웨어 [6] 크로커스 2017.01.05 206