최근 몇 주 동안 사이버 보안 전문가들은 정교한 멀웨어가 구글 크롬 API를 악용하고 있다는 것을 발견했다. 이 익스플로잇을 통해 공격자는 새로운 인증 쿠키를 생성해 피해자의 구글 계정에 장기간 무단으로 액세스할 수 있다. 문제의 심각성에도 불구하고 구글은 이 문제를 멀웨어 기반 쿠키 도난의 일반적인 사례로 분류하고 있어 우려된다.

표적이 된 API는 Google OAuth 멀티로그인 엔드포인트로 추정되며, 다양한 구글 서비스에서 계정을 동기화하도록 설계되었다. 그러나 위협 공격자들은 이를 무기화해 이전에 도난당한 인증 쿠키가 만료되는 즉시 새로운 기능의 인증 쿠키를 생성한다.

◆멀웨어와 구글의 대응

이 기법은 처음에 루마(Lumma)와 라다만티스(Rhadamanthys)에서 보고된 이후 4개의 멀웨어 작전에 추가로 사용됐다. 4개 멀웨어는 Stealc, Medusa, RisePro, Whitesnake로 알려졌다. 이 작전은 상당한 정교함을 보여 주었으며, 구글 사이트의 인증 쿠키와 새 인증 토큰을 새로 고치거나 생성하기 위한 고유 토큰을 포함해 구글 크롬에서 여러 개의 토큰을 훔칠 수 있었다.

이번 건에 대해 구글은 멀웨어 기반 쿠키 도난의 일상적인 사례로 간주해 API 남용을 무시하는 듯한 태도를 취했다. 구글은 API가 의도한 대로 작동하고 있으며 멀웨어에 의해 취약점이 악용되지 않았다고 주장한다. 구글은 영향을 받은 사용자에게 크롬 브라우저에서 로그아웃하거나 g.co/mydevices를 통해 모든 활성 세션을 종료해 새로고침 토큰을 사용할 수 없도록 하라고 권고하고 있다.

◆우려 사항 및 향후 영향

구글은 영향을 받은 사용자를 감지하고 이를 통지했다고 주장하지만, 향후 피해자에 대한 우려는 여전히 남아 있다. 이러한 유형의 정보 도용 멀웨어에 감염된 사용자는 무단 액세스가 감지되거나 식별 가능한 방식으로 악용될 때까지 이를 인지하지 못할 수 있다.

◆사용자를 위한 권장 사항

이 멀웨어의 영향을 받은 경우 즉시 구글 비밀번호를 변경해야 한다.

영향을 받은 기기 크롬 브라우저에서 로그아웃하거나 g.co/mydevices를 통해 모든 활성 세션을 종료해야 한다.

크롬에서 향상된 안전 브라우징을 사용 설정해 피싱 및 멀웨어 다운로드를 방지해야 한다.

기업은 위협 환경이 진화함에 따라 보다 강력한 접근 방식이 필요하다. 구글은 위협을 완화하기 위해 사용자 조치를 권장하지만, 악용된 API에 대한 액세스를 제한하는 것이 더 효과적인 예방책이 될 수 있다는 공감대가 형성되고 있다. 하지만 구글은 이러한 특정 API 악용 문제를 해결하기 위한 계획에 대한 정보를 제공하지 않았다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★