구글은 매일 수십만 개의 계정 도용 시도로부터 사용자를 보호합니다. 대부분의 해킹 공격은 자동봇(automated bot)이 제3자에게 유출된 비밀번호에 액세스해 일어나지만, 그 외에 피싱 및 표적 공격도 나타납니다. 구글은 올해 초 계정 복구를 위한 전화번호 추가 등의 간단한 5가지 단계를 통해 보안을 강화하는 방법을 소개했으며, 이를 실제로 증명하고자 연구를 진행했습니다.
구글은 기본적인 계정 보안을 유지함으로써 도용 시도를 얼마나 효과적으로 방지할 수 있는지 알아보기 위해 뉴욕대학교(New York University) 및 캘리포니아대학교 샌디에이고(University of California, San Diego)와 협력하여 연구를 진행했습니다. 광범위한 공격 및 표적 공격에 관한 1년여의 연구 결과가 전문가, 정책입안자, 사용자가 한자리에 모이는 웹 컨퍼런스에서 발표되었습니다.
연구에 따르면 사용자의 구글 계정에 복구 전화번호를 추가하는 것만으로 조사 기간에 발생한 자동봇을 최대 100% 차단할 수 있으며, 대규모 피싱 공격은 99%, 표적 공격은 66% 차단할 수 있는 것으로 나타났습니다.
도용 시도로부터 사용자를 보호하는 구글의 적극적, 자동적 사전 조치
구글에서는 계정 도용으로부터 모든 사용자를 보호하기 위해 자동화된 사전 보안 조치를 취하고 있습니다. 보안 조치가 작동하는 방법은 다음과 같습니다. 의심스러운 로그인 시도(예: 새로운 위치 또는 기기에서의 로그인 시도)가 감지되었을 때, 구글에서는 본인 확인을 위한 추가적인 증거를 요청합니다. 이 증거는 신뢰할 수 있는 휴대전화에 액세스할 수 있음을 증명하거나 본인만이 정답을 알고 있는 질문에 답하는 것 등이 될 수 있습니다.
휴대전화로 로그인했거나 복구 전화번호를 설정해둔 경우에는 구글에서 기기 기반 질문을 통해 2단계 인증과 비슷한 수준의 보안을 제공할 수 있습니다. 조사 결과 복구 전화번호로 전송되는 SMS 코드를 사용하면 자동봇은 100%, 대규모 피싱 공격은 96%, 표적 공격은 76% 막아줄 수 있는 것으로 드러났습니다. SMS보다 안전한 방식인 온디바이스(on-device) 메시지를 사용하면 자동봇은 100%, 대규모 피싱 공격은 99%, 표적 공격은 90% 방지할 수 있었습니다.
복구 전화번호를 설정하지 않은 경우에는 조금 더 낮은 보안 수준의 정보 기반 질문(예: 마지막 로그인 위치)을 사용해야 합니다. 이 질문을 사용하면 자동봇은 효과적으로 막을 수 있지만, 피싱 방지율은 10%까지 떨어질 수 있으며 표적 공격에도 마찬가지로 취약합니다. 피싱 페이지와 표적 공격자가 구글에서 요청할 법한 추가적인 개인정보를 제공하도록 사용자를 속일 수 있기 때문입니다.
이렇게 질문을 사용하면 보안 수준을 높일 수 있는데 왜 구글에서 로그인 시도가 있을 때마다 질문을 사용하지 않는지 궁금하실 수도 있습니다. 이는 이러한 질문이 추가적인 마찰을 일으키고 계정이 잠길 위험을 높이기 때문입니다. 저희가 진행한 실험 결과 질문을 받았을 때 휴대전화에 액세스할 수 없는 사용자가 38%에 달했으며, 34%의 사용자는 복구 이메일 주소를 기억해내지 못했습니다.
휴대전화에 액세스할 수 없거나 질문에 답을 할 수 없는 경우에는, 언제나 이전에 로그인한 적이 있는 신뢰할 수 있는 기기를 사용해 계정에 다시 액세스할 수 있습니다.
해커 고용을 통한 공격 파헤치기
대부분의 봇, 피싱 공격은 구글의 자동 보호를 통해 차단됩니다. 그러나 가장 치명적인 유형은 표적 공격입니다. 계정 도용 위협을 감시하기 위한 지속적인 노력의 일환으로 저희는 최근 그 수가 많아지고 있는 해커 고용 범죄 집단을 조사해 왔습니다. 이들은 주문당 750달러(USD)의 요금을 받고 단일 계정을 해킹해 준다고 주장하며 종종 가족이나 동료, 정부 관료, 심지어 구글을 사칭하는 스피어피싱 이메일을 사용합니다. 해킹 대상이 첫 번째 스피어피싱 공격에 넘어가지 않으면 추가 공격이 한 달 이상 동안 이어집니다.
사용자 백만명 중 한 명이 이 정도의 위험에 노출되어 있는 것으로 추정됩니다. 그러나 공격자가 무작위로 해킹 대상을 고르지는 않습니다. 연구에 따르면 구글의 자동 보호를 통해 최대 66%의 표적 공격을 지연시키거나 방지할 수 있지만, 계정 도용의 위험이 높은 사용자라면 고급 보호 프로그램에 등록하는 것이 좋습니다. 실제로 조사 기간 동안 보안 키만을 사용하는 사용자는 단 한 명도 표적 피싱 공격에 넘어가지 않았습니다.
잠시 시간을 내 계정 보안 강화하기
운전할 때 안전벨트를 매는 것처럼, 잠시 시간을 내 다음 5가지 방법을 따라 계정의 보안을 유지하세요. 연구에서도 증명된 바 있듯이 구글 계정을 보호하는 가장 간단한 방법 중 하나는 바로 복구 전화번호를 설정하는 것입니다. 기자나 활동가, 기업 경영자, 정치 운동가 등 계정 도용의 위험이 높은 사용자라면 구글의 고급 보호 프로그램을 통해 최고 수준의 보안을 유지할 수 있습니다. 또한, 비밀번호 진단 확장 프로그램을 설치해 제3자 비밀번호 유출로부터 구글 외 계정을 보호할 수도 있습니다.
작성자: 커트 토마스(Kurt Thomas), 엔젤리카 모시키(Angelika Moscicki)