구글 독스를 활용한 피싱 공격 사례

최근 계속해서 정상적인 서비스를 사용하는 피싱 사례들이 보고되고 있는데요. 오늘은 구글 독스를 활용한 새로운 피싱 공격 사례에 대해 소개드리겠습니다. 이전 글인 "중고나라 안전결제 사기 사례"에서 범죄자가 돈만 주면 쉽게 SaaS처럼 클라우드 호스팅 이용한 가짜 안전거래 사이트를 사용할 수 있다고 말씀을 드렸죠. 그리고 클라우드 서비스의 3가지 개념에 대해 간단히 소개드리면서 구글 독스(Google Docs)도 마찬가지로 SaaS 형태로 제공되어, 인터넷만 연결되어 있으면 웹에서 워드나 파워포인트와 같은 문서 작업을 할 수 있다고 말씀드렸습니다. 그래서 오늘은 구글 독스를 이용한 피싱 공격 사례에 대해서 자세히 설명드리도록 하죠.

​

우선 이 피싱 공격의 경우 해커가 피해자들에게 구글 독스의 문서를 공유하는 URL 링크가 포함된 메일을 전달합니다. 이 URL을 클릭하면 실제로 구글 독스 페이지로 넘어가면서 파일을 다운로드할 수 있는 문서가 나타나는데요. 여기에서 다운로드 버튼을 누르면 로그인 페이지로 이동하게 됩니다. 그런데 여기서 보이는 로그인 페이지는 해커가 구글 로그인 페이지와 똑같이 보이는 피싱 사이트로, 여기에 아이디와 비밀번호를 입력하는 순간 해커에게 정보가 넘어가게 되겠죠.

​

위에 설명해드린 내용만 읽었을 때는 피해자가 피싱 사이트로 넘어가는 중간 과정이 이해가 잘 안되실 수 있는데요. 여기서는 메일로 온 URL을 클릭했을 때 넘어가는 구글 독스 페이지에 함정이 있는겁니다. 해커가 만든 구글 독스 페이지는 우리가 흔히 아는 PPT(파워포인트)로 프리젠테이션 페이지인데, 회사나 학교에서 발표 자료를 만드셨으면 알겠지만 PPT에서는 이미지에 링크도 첨부하고 이것저것 꾸밀 수 있죠. 해커는 구글 독스 공유 페이지와 완전히 비슷하게 PPT 페이지를 꾸미고, 다운로드 버튼 이미지에 구글 로그인 피싱 사이트 URL을 링크해 놓은겁니다. 사용자가 구글 독스 PPT 페이지에서 다운로드 버튼이라고 생각해서 눌렀던건 실제로는 URL이 링크되어 있는 이미지였던거죠.

​

아마 저도 이런 시나리오를 알지 못했다면 이와 같은 메일을 받았을 때 속았을 수도 있을거라고 생각합니다. 보통 구글 독스라고 하면 당연히 회사에서도 많이 사용하고 있고, 구글에서 안전하게 서비스한다고 생각하기 때문에 의심 없이 클릭을 하겠죠. 이런 방법은 해커 입장에서는 구글의 서비스를 해킹한 것도 아니고, 단순히 PPT 슬라이드 한 장을 만들어서 공유만 하면 되기 때문에 큰 노력 없이 공격이 가능합니다.

​

그럼 구글 입장에서 이런 공격을 막을 수 있는 방법이 있을까..하면 사실 딱히 없는데요. 이번 공격처럼 PPT에 있는 이미지나 텍스트에 삽입된 URL을 모두 일일이 검사하는 방법도 비효율적이고, 그렇다고 사용자들이 대부분 활용하는 링크 삽입 기능을 없앨 수는 없는 노릇이겠죠. 또한 그렇다고 하더라도 해커들은 또 우회 방법을 찾아낼 것이기 때문에 구글은 난감한 입장일 겁니다.

 

 

클라우드를 정상적으로 사용하기만 했을 뿐인데 피싱 공격이 가능하다

 

최근에는 해커들이 위에 설명드린 구글 독스뿐만 아니라 "클라우드 호스팅을 이용한 피싱 사례"에서 설명드린 것처럼, 아마존의 AWS와 마이크로소프트의 Azure 등과 같은 클라우드 서비스를 활용하고 있습니다. 사용자들이 많이 사용하면서 당연히 별 문제 없겠지라고 생각하는 정상적인 서비스를 공격에 악용하는 거죠. 이러한 방식이 해커들에게 있어서는 공격에 투자하는 시간과 비용을 낮춰주기 때문에 앞으로도 이런 공격 방식이 쭉 유행하지 않을까..라는 걱정이 듭니다. 아직 이런 공격의 대응 방법에 대해서는 잘 알려진 바 없기 때문에, 이후 대응 방법이 나온다면 같이 글을 써보도록 하겠습니다. 그럼 오늘은 여기서 마치죠. 감사합니다.