구글 이메일의 로그인 페이지와 동일한 가짜 페이지로 사용자 속여
로그인 페이지의 주소도 진짜 주소와 흡사... 프로토콜 확인도 필요

[보안뉴스 홍나경 기자] 로그인하려는 웹사이트가 진짜인지 가짜인지 알 수 있는 가장 쉬운 방법은 브라우저 주소창에 적힌 주소를 확인하는 것이다. 하지만 이러한 방법만으로는 충분하지 않을 때가 있다. 최근 몇 주 동안 구글의 지메일 사용자들을 겨냥해 기승을 부린 피싱 공격이 좋은 예다.

사실 공격 방식만 본다면 그리 새로울 건 없다. 이전에 해킹 당했던 누군가의 이메일을 통해 그들의 연락처 목록에 있는 또 다른 누군가에게 악성 코드를 퍼트리는 것이다. 이때 악성 코드가 포함되어 있는 이메일을 받는 수신자가 전에 이미 본적이 있거나 익숙한 이미지 또는 첨부파일을 함께 포함하여 이메일을 전달한다. 그리고 실제로 수신자가 이것들을 클릭했을 때 새로운 창이 뜨면서 지메일에 다시 로그인 하라는 내용이 나타난다.

이러한 피싱 페이지는 실제 구글 이메일의 로그인 페이지와 똑같이 만들어졌다. 심지어 주소 창에도 구글 메일 주소임을 나타내는 ‘Accounts.google.com’이 적혀있다. 이에 대해 워드펜스의 CEO 마크 몬더(Mark Maunder)는 “여기에 속아 가짜 로그인 페이지에서 로그인을 하게 되면 해커가 계정을 침입할 수 있게 됩니다”라고 말했다.

사용자들이 이미지를 클릭했을 때 나타나는 가짜 로그인 페이지는 데이터 URI(Data URI) 기법을 사용해 만들어진 인라인 파일이다. 사용자가 구글 아이디와 비밀번호를 입력했을 때 그들의 정보가 해커에게 전송된다.

몬더는 공격자가 피해자의 계정에 로그인함과 동시에 크리덴셜을 훔칠 수 있다고 언급하며 이러한 공격 처리 과정의 속도를 봤을 때 자동으로 공격이 실행되도록 설계되어 있거나 팀을 조직하여 계정에 바로 침입해 정보를 훔칠 수 있도록 대기하고 있는 것일 수도 있다고 언급했다. “해커가 계정에 침투하게 되면 모든 계정 권한을 다 갖게 되기 때문에 이메일을 전송하고 수신하는 것을 할 수 있게 됩니다. 또한, 해커가 모든 이메일들을 다운로드 받았을 수도 있습니다.”

일반인들도 사실 주소창을 보고 쉽게 피싱 사이트인지 아닌지를 구분할 수 있다. 그저 이번 피싱 공격이 더 위험한 이유는 해커들이 사용한 ‘교묘한 수법’ 즉, 주소창에 나타나는 주소가 ‘https://’와 정확한 호스트 네임인 ‘Google’을 포함하고 있는 것 때문이라고 한다. 극도의 유사성 때문에 사용자들이 로그인 페이지에 자신들의 정보를 의심없이 입력할 수밖에 없다는 것. 하지만 좀 더 자세히 가짜 주소를 살펴보면 진짜와의 차이점이 발견된다. ‘data.text/html’가 실제 주소 ‘https://accounts.google.com'의 앞에 삽입돼 있는 것이다.

“사용자들이 주소 창 안에 적혀 있는 주소를 살필 때 호스트 이름뿐 아니라 프로토콜도 살펴야 하는 시대가 됐다고 볼 수 있습니다. 내가 아는 글자나 이름이 주소 창 안에 있다는 게 중요한 게 아니라, 주소 창 안에 있는 글자들 전부가 내가 잘 알고 있는 것이어야 한다는 것이죠. 또 다른 방어법이 있다면 이중 인증입니다. 이 편이 주소를 전부 외우는 것보다 더 간편할 수도 있습니다.”

누데이터 시큐리티(NuData Security)의 부사장 로버트 카프스(Robert Capps)는 새롭게 나타난 지메일 피싱 공격에 대해 “기존 피싱의 가장 대표적인 구별법을 부정한 새로운 공략법”이라고 언급했다. “사용자들은 ‘https://’ 또는 URL에 나타나는 자물쇠 아이콘을 통해 유해 사이트를 구분하는 방식에 익숙한데, 이 점을 해커들이 악용한 것입니다.”

설명은 계속 됐다. “피싱에 관해 잘 알고 있는 이들 뿐만 아니라 많은 일반 사용자들이 기존 유해 사이트 구분 기준에 익숙합니다. 따라서 유해 표시들이 없거나 자신들이 신뢰하고 있는 기준을 통과하면 사이트가 안전하다고 생각해 버리죠.”

웹브라우저 개발자가 기존에 많은 이들에게 신뢰되고 있는 표시들을 다시 생각해봐야할 필요가 있다고 카프스는 주장했다. “브라우저 개발사들은 소비자들이 어떤 기준과 패턴으로 인터넷 사이트나 서비스를 신뢰하는지 잘 분석해야 합니다. 또한 기존에 통용되던 신뢰의 표식들을 바꿔야 할 필요도 있습니다. 당연한 것, 익숙한 것들에 해커들이 즐겨 찾는 꼬투리가 있으니까요.”

[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

http://www.boannews.com/media/view.asp?idx=53114&page=1&kind=4