최근 사이버 보안 연구 기관들이 구글 클라우드의 합법적 서비스 기능이 범죄에 악용돼 전 세계적으로 대규모 피싱 공격이 발생한 사실을 공개했다. 이번 공격에서 발송된 이메일은 구글의 공식 주소를 사용하는 것처럼 보였기 때문에 정확한 식별이 어려웠고, 수신자들이 평소 신뢰하는 이메일로 인식되면서 피해 위험이 크게 증가했다.
공격자들은 Google Cloud Application Integration의 자동화된 이메일 발송 기능을 악용했다. 이 기능은 본래 업무용 알림을 자동으로 전송하기 위한 것이지만, 공격자들은 이를 악용해 악성 링크가 포함된 이메일을 신뢰받는 구글 도메인에서 발송된 것처럼 보이게 했다.
피해는 약 3,200개 조직을 대상으로 지난 12월 중 2주간 9,000건 이상의 이메일이 발송되며 광범위하게 나타났다. 이메일에는 평범한 업무 알림처럼 보이는 문구가 포함돼 사용자의 경계를 낮추었으며, 결과적으로 스팸 필터와 이메일 인증 체계(SPF, DMARC 등)를 우회하는 데 성공했다.
사용자가 이메일 본문 내 링크를 클릭하면 첫 단계로 Google Cloud Storage에 호스팅된 페이지로 연결되고, 이후 여러 중간 단계를 거쳐 최종적으로 비공식 Microsoft 로그인 페이지로 유도된다. 이 단계에서 입력된 계정 정보는 공격자에게 즉시 탈취된다.
구글 측은 “이번 공격은 워크플로 자동화 도구의 오용으로 인한 것이며, 구글 인프라 자체가 침해된 것은 아니지만 유사 공격에 대비해 지속적으로 보안 강화 조치를 진행하고 있다”고 공식 발표했다.
사이버 보안 전문가들은 “이메일이 공식 도메인에서 발송되었더라도 링크 클릭 전 반드시 URL을 검토하고, 의심스러운 경우 직접 서비스 공식 사이트에서 확인해야 한다”고 경고했다. 또한 다중 인증(MFA) 활성화, 정기적인 피싱 예방 교육 등이 권장된다. <김선엽 기자>
-보안업체가 공개한 구글 클라우드 악용 피싱 공격 사례 화면.
출처: XORLAB
