구글은 지난 19일에 지메일 및 G Suite 이메일 서버에 영향을 미치는 주요 보안 버그를 패치했다.

이 버그로 인해 위협 행위자가 지메일 또는 G Suite 고객을 모방한 스푸핑된 이메일을 보낼 수 있었다.

4월에 이 문제를 발견해 구글에 보고한 보안 연구원 올리슨 후사인(Allison Husain)에 따르면 이 버그는 첨부자가 가장 진보된 이메일 보안 표준인 SPF(Sender Policy Framework) 및 DMARC(Domain-based Message Authentication, Reporting, and Conformance, 도메인 기반 메시지 인증, 보고및 적합성)에 따라 스푸핑된 이메일을 전달 할 수 있도록 허용한다.

그러나 보고된 문제를 수정하는데 137일이 있었음에도 불구하고 구글은 처음 공개 기한을 넘기고 9월로 패치를 연기했었다.

하지만 구글 엔지니어들은 후사인이 개념 증명 익스플로잇 코드를 포함해 블로그에 버그에 대한 세부 정보를 게시하자 마음을 바꾸었다.

후사인이 블로그 게시물에서 설명했듯이 실제 문제는 두가지 요소의 조합이다. 첫번째는 공격자가 지메일 및 G Suite 백엔드의 이메일 게이트웨이로 스푸핑된 이메일을 보낼 수 있도록 하는 버그이다. 공격자는 지메일 및 G Suite 백엔드에서 악성 이메일 서버를 실행/대여하고 이메일을 허용한 다음 두번째 버그를 사용한다.

두번째 버그를 통해 공격자는 수신 이메일을 받아 전달하는 커스텀 이메일 라우팅 규칙을 설정하는 동시에 ‘메일 수신자 변경’이라는 기본 기능을 사용하여 지메일 또는 G Suite 고객의 ID를 스푸핑할 수 있다. 공격에서 이메일 전달에 이 기능을 사용하는 이유는 지메일/G Suite가 SPF 및 DMARC 보안 표준에 대해 스푸핑된 전달된 이메일의 유효성을 검사해 공격자가 스푸핑된 메시지를 인정할 수 있도록 지원한다는 것이다.

두 버그를 결합하는 방법에 대한 분석은 아래 후사인의 그래프를 참조하면 된다.

후사인은 “또한 메시지가 구글의 백엔드에서 생성되었기 때문에 메시지의 스팸 점수가 낮을 가능성이 높으므로 덜 자주 필터링될 것이다.”라고 말하면서 두 버그는 구글에만 고유하다고 지적했다.

구글의 완화 수단은 서버 사이드에서 이루어졌으므로, 지메일과 G Suite 사용자는 특별히 어떤 조치를 취할 필요는 없다

★정보보안 대표 미디어 데일리시큐!★