구글 '앱 비밀번호' 기능 악용 공격 확인…“피싱 수법 진화”

구글이 자사 '애플리케이션 비밀번호'(ASP) 기능을 악용한 피싱 공격을 포착했다. 아직 국내에선 유사한 공격 기법을 사용한 사례는 발견되지 않았으나 언제든 공격에 악용될 수 있어 주의가 요구된다.

구글 위협 인텔리전스 그룹(Google Threat Intelligence Group·GTIG) 보고서에 따르면, 구글의 ASP 기능을 악용해 사용자 이메일 계정에 대한 2단계 인증을 우회하고 지속적인 접근 권한을 확보하는 피싱 공격이 이뤄지고 있다.

ASP는 타사 앱이 사용자의 구글 계정에 접근할 수 있도록 해주는 앱 전용 비밀번호를 말한다. 공격자는 ASP를 2단계 인증을 우회하는 용도로 악용했다. 계정에 2단계 인증을 설정하면 인증을 지원하지 않는 일부 오래된 앱이나 프로그램의 로그인 시도 시 실패한다. 이때 ASP를 생성하면 앱 전용으로 로그인이 가능하다.

실제 러시아 배후 해킹그룹으로 추정되는 공격자는 미국 국무부 관계자를 사칭해 회의 초청 이메일을 발송했으며, 사용자가 회의를 예약하도록 유도했다. 이후 응답한 사용자에게 PDF 파일이 첨부된 이메일을 보냈다. 일반적인 피싱 공격의 경우 PDF 등 첨부파일에 악성코드를 삽입하지만, 이번엔 그렇지 않았다. 이번 피싱 공격의 목표는 사용자가 ASP를 생성하는 데 있다. PDF 파일엔 가짜 국무부 클라우드 환경에 안전하게 접속하는 방법을 안내하며, 사용자에게 ASP 생성을 유도하는 내용이 담겼다. 사용자가 안내에 따라 ASP를 생성한 후 공격자에게 제공하면, 공격자는 사용자의 이메일 계정에 대한 지속적인 접근이 가능하다.

이스트시큐리티 시큐리티대응센터(ESRC)는 최근 블로그를 통해 이번 공격은 피싱이 계정 탈취를 위한 단순한 인터넷주소(URL) 클릭 유도가 아닌, 신뢰 기반의 사회공학 기법과 정상 기능 악용, 장기적 침투를 위한 수단 등으로 진화를 보여주는 사례라고 분석했다.

ESRC 측은 “이러한 형태의 공격이 아직 국내에서 발견된 사례는 확인되지 않았으나 추후 유사한 형태로 발견될 가능성이 높아 지속적인 모니터링을 진행하고 있다”며 “ASP 생성 여부를 확인해 사용하지 않는 항목 삭제, 생성 내역 등에 대한 주기적인 점검이 필요하다”고 말했다.

조재학 기자 2jh@etnews.com