구글은 지난 피싱 공격에 이어 2차로 대규모 피싱 공격이 발생하는 것을 막기 위해 새로운 보안 기능을 추가했다고 밝혔다.
구글은 경고 및 침입자 화면을 추가하여 사용자가 사용하려고 하는 앱이 확인되지 않았으며 계정 데이터를 위험에 빠뜨릴 수 있다고 경고 메시지를 띄운다.
‘확인되지 않은 앱’ 화면은 구글 사용자 계정에 연결하는 모든 새로운 웹 앱에 섞인 악성 앱을 가려내어 실행되지 않게 만든다. 크롬 사용자가 해킹되었거나 멀웨어가 포함된 웹사이트에 방문하면 빨간색 경고 화면이 뜬다.
일부 기존 앱은 새로운 앱과 동일한 검증 과정을 거쳐야 한다고 구글은 말했다.
구글은 또한 자사의 앱 스크립트(Apps Scripts)에 이러한 경고를 추가할 것이라고 발표했다.
이 스크립트는 구글 오피스와 같은 생산성 애플리케이션을 위한 맞춤 매크로와 부가 기능을 사용하도록 만든다.
구글은 이에 대해 “새로운 보안 경고를 통해 위험에 빠진 사용자에게 자동으로 위험 상황을 알리고 정보를 안전하게 지킬 수 있는 결정을 내리도록 도우며 개발자들이 더 쉽게 앱을 테스트하고 개발하도록 할 것이다”라고 말했다.
약 한 달 전 지메일 사용자들은 구글 오피스에 저장된 문서로 위장한 새로운 종류의 피싱 공격을 당한 바 있다.
공격자는 사용자를 속여서 수신자가 알고 있는 상대방으로부터 메일이 온 것처럼 꾸몄다.
이메일 링크에 있는 문서가 열리면 구글에 호스팅된 가짜 앱 구글 오피스가 열려서 사용자의 계정 권한(주소록 포함)을 묻고 사용자의 주소록에 있는 모든 메일 계정에 이메일을 보냈다.
피싱 공격 소식은 산불처럼 퍼져 나갔다. 구글은 전체 계정의 0.1%만이 영향을 받았다고 전했다.
구글은 또한 구글 플랫폼을 사용하는 오쓰(OAuth) 응용 프로그램에 대한 정책 및 집행에 관한 규정을 강화했다.