사이버 보안 전문가들이 정보 탈취 멀웨어에 의해 활발히 악용되고 있는 Google OAuth 내 멀티로그인이라는 심각한 익스플로잇을 발견했다. 이 익스플로잇을 통해 위협 행위자는 사용자 세션을 탈취해 사용자가 비밀번호를 재설정한 후에도 구글 서비스에 지속적으로 액세스할 수 있다.

이 멀웨어는 Lumma, Rhadamanthys, Stealc, Meduza, RisePro, WhiteSnake와 같은 다양한 서비스형 멀웨어(MaaS) 탈취기 제품군에 통합되어 있으며, 멀티로그인이라고 알려진 문서화되지 않은 Google OAuth 엔드포인트를 표적으로 삼는다. 이 엔드포인트는 여러 서비스, 특히 크롬 웹 브라우저 내에서 구글 계정을 동기화하기 위해 설계되었다.

보안 연구원들은 Lumma Stealer 코드를 리버스 엔지니어링한 결과, 이 멀웨어가 크롬 웹데이터의 토큰 서비스 테이블에서 크롬 프로필의 토큰과 계정 ID를 추출한다는 사실을 밝혀냈다. 이 테이블에는 서비스(GAIA ID)와 암호화된 토큰이라는 두 개의 열에 중요한 정보가 포함되어 있다. 그런 다음 추출된 token:GAIA ID 쌍을 멀티로그인 엔드포인트와 결합해 구글 인증 쿠키를 다시 생성한다.

이 악성코드는 세 가지 시나리오에서 작동한다.

▲사용자가 브라우저로 로그인해 토큰을 여러 번 사용할 수 있도록 허용하는 경우. ▲사용자가 비밀번호를 변경하지만 로그인 상태를 유지하는 경우, 이미 사용된 토큰을 한 번만 사용할 수 있도록 제한한다. ▲사용자가 브라우저에서 로그아웃하면 토큰이 취소되고 삭제되며, 다시 로그인하면 다시 생성된다.

이 사실을 통보 받은 구글은 이 공격 방법의 존재를 인정했다. 사용자는 영향을 받은 브라우저에서 로그아웃하거나 사용자의 기기 페이지에서 원격으로 세션을 취소해 도난당한 세션을 무효화할 수 있다. 구글은 영향을 받는 사용자를 보호하기 위해 이러한 공격 기법에 대한 방어를 정기적으로 업그레이드하고 있다고 강조했다.

구글은 피싱 및 멀웨어 다운로드로부터 사용자를 보호하기 위해 크롬에서 향상된 안전 브라우징을 사용하도록 설정할 것을 권장하고 있다. 또 공격자가 비밀번호 재설정 인증 흐름을 이용하지 못하도록 비밀번호를 변경할 것을 권고한다. 사용자는 낯선 IP나 위치에서 의심스러운 세션이 있는지 계정 활동을 적극적으로 모니터링해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★