구글, 오쓰 화이트리스팅으로 지스위트 솔루션 강화

입력 : 2017-07-07 16:10

은둔의 IT 사용 관리할 수 있게 돼...관리자 권한도 높아져
유명한 앱에 대한 신뢰를 노리는 공격...수일 안에 단계별로 업데이트

[보안뉴스 문가용 기자] 구글이 자사의 지스위트(G Suit) 보안을 강화하고 나섰다. 방법은 오쓰(OAuth) 앱 화이트리스팅을 적용하는 것이다. 지스위트에 오쓰 화이트리스팅을 결합하면 데이터 접근 통제와 관련된 걱정을 많이 덜 수 있다고 한다.


구글의 목표는 관리자들에게 가시성을 제공해 어떤 앱들이 지스위트의 데이터에 접근하고 있는지 파악하게 하고, 검증된 오쓰 앱들을 통해 접근을 통제하며, 비인가 앱 설치를 막아 지스위트 데이터를 보호하는 것이다. 쉽게 말해 은둔의 IT(shadow IT)가 발생시키는 리스크를 줄이는 것이라고 볼 수 있다.

관리자들은 오쓰 앱 화이트리스팅을 사용해 어떤 앱들로 지스위트 데이터에 접근해도 되는지, 혹은 안 되는지 정할 수 있고, 동시에 어떤 데이터에 앱들이 접근할 수 있는지도 설정할 수 있다. 오쓰의 접근권한 자체도 기업 내 팀이나 단체별로 따로따로 비활성화시킬 수 있다.

앱이 화이트리스트에 올라있으면 사용자들은 해당 앱이 지스위트 앱 데이터에 접근할 수 있도록 권한을 줄 수 있게 된다. 이를 관리자가 설정하면 직원들이 지스위트에 접근할 때 불안전한 앱을 사용할 수 없게 된다. 악의적 내부자도 막을 수 있을뿐 아니라 순수 실수도 방지할 수 있게 되는 것이다.

“지스위트 앱이 아닌 서드파티 앱을 통해 지스위트 앱 데이터에 접근하는 건 굉장히 위험할 수 있는 행위입니다. 많은 기업들이 이 부분에 걱정이 많습니다.” 지스위트의 제품 관리 책임자인 리시 단드(Rishi Dhand)의 설명이다. “다양한 공격 가능성이 열리게 되죠. 데이터의 종류에 따라 리스크 정도도 크게 달라질 수 있고요.”

지스위트의 보안 강화 작업이 끝나면, 사용 가능한 앱을 선택할 수 있는 관리자의 권한과 책임이 매우 커지게 된다. 관리자로서도 갑작스러울 수 있는 변화라 뭘 어떤 기준으로 어떻게 선택해야 할지 모를 수 있다. 단드는 이에 대해 “다음 질문을 통해 앱을 선택하라”고 권한다.

1) 현재 데이터 접근 관련 정책과 서드파티 앱이 요청하는 접근 권한은 서로 호환되는가?
2) 서드파티 앱이 요구하는 데이터 접근 권한이, 그 앱의 기능과 관련이 있는 것들인가? 예를 들어 달력 앱이 구글 드라이브에 접근하고자 한다면, 의심해봐야 한다는 것이다.
3) 앱 개발자는 보안에 어떤 식으로 접근하고 있는가? 사용자 데이터 처리 방침에 대해 공개한 내용이 있는가?

구글이 이런 방안을 내놓은 것은 악성 앱을 통해 사용자를 속여 민감한 데이터에 접근하는 여러 사이버 범죄 행위를 근절시키기 위함이라고 볼 수 있다. 최근엔 새로운 크리덴셜 피싱 공격법도 등장했는데 이 기법의 이름은 오쓰 피싱(OAuth phishing)이다. 공격자가 계속해서 사용자 계정에 접근할 수 있도록 오쓰 표준을 악용하는 것이 이 공격법의 골자다. 일반적인 피싱 공격과 그 형태가 매우 다르기 때문에 사용자들이 쉽게 속고, 실제 성공률도 높다. 유명 앱들에 대한 사용자들의 신뢰를 노린 공격이라고도 볼 수 있다.

오쓰 공격이 보안 업계의 주목을 받은 건 지난 5월 3일 구글 독스에서 발생한 피싱 사기 공격이 발견되면서부터다. 구글 독스 문서니 당연히 안전하겠거니 하고 사용자들이 신뢰해버렸으며, 그 때문에 악성 링크를 클릭해 1백만 명 이상이 당한 것이다. 이 공격에 당한 사용자들은 구글 계정에 대한 크리덴셜을 해커들에게 넘겨준 것과 다름없게 되었으며, 해커들은 여기서 탈취한 정보들로 구글 드라이브 등에 접속해 더 많은 정보들을 빼돌릴 수 있었다.

지스위트 업데이트는 단계별로 발표될 예정이라고 구글은 발표했다. 관리자 콘솔을 통해 업그레이드가 가능하며, 수일 안에 첫 패치가 나올 것이라고 한다. 지스위트 사용자들은 패치를 통해 데이터 접근에 대한 실수나 공격을 크게 방지할 수 있을 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...