상단여백
HOME 뉴스·정책
구글 로그인 페이지에 보안 취약점?
  • 한종진 IT칼럼니스트
  • 승인 2016.09.04 13:00
  • 댓글 0




보안 전문가인 에이단 우즈(Aidan Woods)가 구글 로그인 페이지에서 악성코드에 감염될 우려가 있는 취약점을 발견, 구글 보안팀에 보고했지만 구글 측이 문제가 없다고 결정, 답변을 했다고 한다.

그가 발견한 구글 로그인 페이지 취약점은 구글 앱이나 서비스에 로그인한 뒤 다른 페이지로 리다이렉션 당하는 것이다. 리다이렉션되는 페이지는 구글닷컴(google.com) 도메인 범위에 한정되지만 구글 드라이브 등에 악성코드를 설치하면 ‘drive.google.com’ 같은 구글 하위 도메인에서 악성코드 다운로드 페이지를 표시할 수 있다는 것이다.

그는 이 취약점을 이용하면 악성코드를 다운로드하게 할 수 있으며 구글 로그인 정보를 훔칠 수 있다고 주장했다. 하지만 이 내용을 전달 받은 구글 측이 이에 대해 조사한 결과 오픈 리다이렉션 방식으로 처리할 수 있어 문제가 없다며 특별한 처리를 하지 않겠다는 취지로 회신을 했다고 한다.

결국 우즈는 취약점이 존재하는 상태에서 자세한 내용을 공개해야 할지 고민하다가 구글 측의 대응을 보고 문제를 제대로 인식하고 있지 않다는 생각에 자신의 블로그에 공개하기도 결정했다고 한다. 구글이 다시 문제를 해결해줄 것으로 기대하고 공개했다는 것.

영상을 보면 구글 드라이브 파일을 다운로드한다는 매개변수를 삽입한 구글 로그인 페이지에서 구글 계정 로그인 정보를 입력하고 로그인을 하면 자동으로 구글 문서 도구에서 파일 여러 개를 다운로드한다. 악의적 공격자라면 이런 방식으로 악성코드를 다운로드하게 할 수 있다는 게 그의 주장이다. 관련 내용은 이곳에서 확인할 수 있다.

https://www.youtube.com/watch?v=P0AMf7aBOfc

한종진 IT칼럼니스트  hancook@hanmail.net

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>

한종진 IT칼럼니스트의 다른기사 보기
인기기사
추천기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
재미있는 테크월드 세상
여백
여백
여백
여백
여백
여백
여백
Back to Top