구글이 지메일 사용자들을 보호하기 위해 새로운 장치를 만들었다. 좋은 시도이나 완벽하지는 않다. 지메일 사용자들이 기억해야 할 건 바로 이 불완전성이다. 그래야 더 안전해진다.
[보안뉴스 문정후 기자] 구글이 정상적이고 안전한 지메일 주소들에 파란색 체크 표시를 새로이 붙이기 시작했다. 구글에 의하면 지메일 사용자들이 앞으로 받은 편지함에서 이 표시를 확인하여 읽어도 괜찮은 메일과 그렇지 않은 메일을 쉽게 구분할 수 있을 것이라고 한다. 구글의 비미(BIMI : Brand Indicators for Message Identification) 기능을 통해 파란 체크를 표시할 수 있다.
![[보안뉴스 / 6.22.] 구글의 지메일 확인 표시, 좋은 시도이긴 하지만 유통기한이 존재한다](http://www.boannews.com/media/upFiles2/2023/06/406339910_2084.jpg)
[이미지 = gettyimagesbank]
지메일 사용자들을 위해 구글이 이런 추가 확인 장치를 마련했다는 것은 좋은 일이다. 다만 이것에는 유통기한이라는 게 존재하며, 이를 보안 업계가 일반 사용자들에게 적극 알릴 필요가 있다. 이런 장치들이 다 그렇지만 이번 지메일 파란 표시도 공격자들이 뚫어내는 법 혹은 악용하는 법을 개발할 때까지만 유효하다. 공략법이 개발돼 퍼지게 된다면 이 장치는 무용지물이 될 것이고, 그 사실을 모르는 사용자들은 이를 계속해서 믿고 의지하다가 더 많은 공격을 허용하게 될 것이다.
보호가 되긴 될까?
해커들은 어떤 방법을 통해 이 장치를 농락할 수 있을까? 구글이 ‘정상’이라고 확인한 메일과 매우 비슷하게 생긴 계정을 만들 수 있다. 새로운 계정을 하나 만들고 특수 도구를 사용해 가짜 인증 표시를 스스로 부착할 수도 있다. 소셜엔지니어링 공격을 정상 계정 사용자의 비밀번호를 확보하는 것도 가능하다. 멀웨어를 통해 로그인 크리덴셜을 훔쳐낼 수도 있다. 그 외에도 무수히 많은 방법들이 개발될 수 있다. 공격자들이 마음 먹기에 따라 기발한 방법들이 등장할 것이 뻔한 일이다.
해커들이 이런 식의 창의력을 선보이며 각종 보안 장치들을 농락한 건 어제 오늘 일이 아니다. 누가 봐도 뻔한 비정상적인 주소를 가지고 피싱 메일을 보내는 건 너무나 기초적인 수법이라 사이버 범죄를 진지하게 저지르는 사람들은 그리 즐겨 사용하지 않는다. 이미 그들은 정상 이메일 도메인을 훔쳐서 도용하든가, 스스로 정상적인 이메일 계정을 생성해 공격에 활용하다가 그 메일 계정이 비정상으로 인식되면 곧바로 다른 새 계정을 만드는 식으로 사용자들을 속인다.
이런 상황에서 구글이 어느 범위까지 이메일의 악성 여부를 판단해 파란 표식을 붙일지가 궁금해진다. 하지만 정상 이메일 도메인을 도용하는 것이 두려워 정상 이메일 도메인임에도 파란 표식을 안 붙이지는 않을 것이다. 즉 새로운 ‘안전’ 표시는 조금만 시간이 지나면 오히려 사용자들이 활용할 수 있는 도구가 될 소지가 높다.
이메일도 여러 겹으로 보호해야 안전하다
그렇기 때문에 이메일을 보호하려는 조직들이라면 구글의 이러한 보안 장치에 일희일비해서는 안 된다. 기업의 이메일 보안 전략은 구글의 이러한 장치가 고안되기 전이나 후나 다를 게 없다. 즉 디마키(DMARC), SPF, 디킴(DKIM) 등 여러 가지 이메일 보안 방법들을 여러 겹으로 활용해야 하는 것이다. 도메인 자체를 인증하고, 첨부파일들을 샌드박스 처리하며, 위협 첩보들까지 활용해 이메일을 통해 들어오려는 공격 시도를 막는 것처럼 확실한 메일 보안 방법은 없다.
이메일 계정에 다중인증 옵션을 설정하는 것도 좋은 방법이다. 1회용 비밀번호를 활용하든, 생체 인증을 활용하든, 인증 전용 앱을 사용하든, 여러 겹의 인증 장치만 가동된다면 비밀번호 하나만 사용하는 것보다 훨씬 낫다. 물론 100% 완전하지는 않지만, 어차피 다중인증 하나만 믿고 이메일을 보호하는 것이 아니기 때문에 괜찮다.
필자는 구글의 새로운 시도를 두고 헛수고라고 말하고 싶지 않다. 대형 플랫폼들이 이런 식으로 각종 보안 장치들을 마련해 적용하고 대중들에게 선보이는 것은 매우 긍정적이다. 다만 어느 기업이나 자신들의 새 서비스를 조금은 과장해서 알리고 싶어 하기 때문에 구글의 홍보를 접한 지메일 사용자들이 자칫 구글의 파란 확인 표시 역시 ‘만능 치트키’처럼 여길 가능성이 높아 보여 염려된다.
보안 장치라는 것들은 신선한 음식과 같아서 빨리 상한다. 아직까지 보안 장치를 영원하게 만들어 줄 방부제 같은 건 개발되지 않았다. 보안을 새로이 접할 일반인들이 가장 먼저 이해해야 할 것은 어쩌면 이 어쩔 수 없는 휘발성인지도 모른다. 공격자들은 미생물과 같아서 어떤 신선한 음식이든 부패하게 만든다. 한 번 설치해서 끝나는 보안 솔루션 같은 건 존재하지 않는다. 구글이 만들든, 애플이 만들든, 마찬가지다.
글 : 롬 헨들러(Rom Hendler), CEO, Trustifi
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.22.] 구글의 지메일 확인 표시, 좋은 시도이긴 하지만 유통기한이 존재한다](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
