구글 ASP(앱 비밀번호)를 악용한 새로운 피싱 공격 발견

 

 

구글의 ASP(앱 비밀번호)기능을 악용하여 사용자 이메일 계정에 대한 2단계 인증을 우회하고 지속적인 접근 권한을 확보하는 피싱 공격이 발견되었습니다. 

 

※ ASP(Application Specific Password)란?
타사 애플리케이션이 사용자의 Google 계정에 접근할 수 있도록 만들어 주는 앱 전용 비밀번호입니다.
예를 들어 2단계 인증이 설정된 계정에, 인증을 지원하지 않는 일부 오래된 앱이나 프로그램(구 버전 이메일 앱, 프린터, 캘린더 앱 등)들이 로그인을 시도하게 되면 실패하게 되는데, 이런 경우에 ASP를 생성하여 앱 전용으로 로그인이 가능하게 만드는 기능입니다. 

 

Google Threat Intelligence Group(GTIG) 보고서에 따르면 공격자는 미국 국무부 관계자를 사칭해 회의 초청 이메일을 발송했고, 사용자가 응답하여 미팅을 설정하도록 유도했습니다. 

 

응답한 사용자는 PDF 파일이 첨부된 이메일을 받게 되고, PDF 파일에는 가짜 국무부 클라우드 환경에 안전하게 접속하는 방법을 안내하며, 사용자에게 ASP 생성을 유도하는 내용이 포함되어 있습니다. 

 

사용자가 문서 안내에 따라 ASP를 생성 한 후 공격자에게 제공하게 되면 공격자는 사용자의 이메일 계정에 대한 지속적인 접근이 가능하게 됩니다. 

 

[그림 1] ASP 생성을 유도하는 PDF 파일 내용

 

이번 공격은 “피싱”이 계정 탈취를 위한 단순한 링크 클릭 유도가 아닌, 신뢰 기반의 사회공학 기법과 정상 기능 악용, 장기적 침투를 위한 수단으로 진화하고 있음을 보여주는 사례로 볼 수 있습니다. 

 

ESRC에서는 이러한 형태의 공격이 아직까지 국내에서 발견된 사례는 확인되지 않았으나 추후 유사한 형태로 발견될 가능성이 높아 지속적인 모니터링을 진행하고 있습니다. 

 

사용자분들께서는 ASP 생성 여부를 확인하시어 사용하지 않는 항목 삭제 및 생성 내역에 대한 주기적인 점검을 통해 외부에 유출되지 않도록 주의하시기 바랍니다.

 

※ ASP(앱 비밀번호) 확인 방법 (생성된 내역이 있을 경우 메뉴 확인 가능) 

[구글 계정 관리] - [보안] - [2단계 인증] - [앱 비밀번호]  

 

[그림 2] ASP (앱 비밀번호) 메뉴 화면

 

 

 

 

 

참고:

https://cloud.google.com/blog/topics/threat-intelligence/creative-phishing-academics-critics-of-russia?hl=en