본문 바로가기

IT & Insight/IT News

구글, 피싱 방지 크롬 확장 프로그램 공개

가짜 웹사이트를 만들어 사용자 아이디와 비밀번호를 가로채는 피싱이 극성이다. 구글 아이디로 다른 서비스에 가입하는 ‘소셜 로그인’ 기능이 널리 쓰이면서 구글 아이디를 노린 피싱도 늘었다. 잘 꾸며진 피싱 사이트는 45% 확률로 사용자를 낚아낸다. 절반에 가까운 누리꾼이 진짜 구글 로그인인줄 알고 아이디와 비밀번호를 적어 넣는다는 뜻이다. 구글은 G메일로 오가는 e메일 가운데 2% 가량이 피싱 e메일이라고 밝혔다.

털린 구글 아이디를 페이스북이나 다른 데서도 쓴다면 피해는 훨씬 클 테다. 해커는 이렇게 손에 넣은 로그인 데이터를 스피어피싱 등 더 복잡한 해킹 공격에 기초 자료로 악용하기도한다.



구글 문서도구 같지만 사실 정교하게 만들어진 피싱 사이트다 (구글 제공)

이런 상황을 해결하고자 구글이 직접 팔 걷고 나섰다. 구글은 피싱 방지용 크롬 확장프로그램 ‘비밀번호 경보’를 만들어 4월29일(현지시각) 발표했다.

‘비밀번호 경보’는 G메일과 구글포워크(Google for Work)에서 쓰는 비밀번호를 구글 로그인 사이트가 아닌 다른 곳에 입력했을 경우 “G메일 비밀번호가 G메일이 아닌 다른 로그인 페이지에 노출됐다”라며 경고를 띄우고 비밀번호를 바꾸도록 유도한다. 기업용 구글포워크를 쓴다면 관리자가 같은 도메인 내에 모든 사용자한테 ‘비밀번호 경보’를 설치할 수 있다.

만약 사용자가 접속한 웹사이트가 피싱 사이트로 확인된 곳이라면 비밀번호를 입력하기 전에라도 사용자에게 경고를 띄운다.

Google_Password_Alert_01

쓰는 법은 간단하다. 구글 크롬 웹스토어에서 ‘비밀번호 경보’ 확장 프로그램을 내려받아 크롬 웹브라우저에 설치하면 된다. 처음 한 번만 구글 로그인 사이트에 아이디와 비밀번호를 입력하면, 그 뒤로 확장 프로그램이 알아서 작동한다.

‘비밀번호 경보’는 사용자 G메일 비밀번호를 해시값으로 암호화해 사용자 기기에 보관한다. 최근에 사용자가 입력한 비밀번호와 새로 입력한 비밀번호가 일치하는지 확인하기 위해서다.

‘비밀번호 경보’는 다른 식으로 사용자의 보안의식을 일깨우기도 한다. G메일 계정과 똑같은 비밀번호를 다른 멀쩡한 웹사이트에 입력해도 피싱 사이트처럼 경고 메시지를 보여준다. G메일과 같은 비밀번호를 계속 쓴다면 접속할 때마다 번거로움을 겪어야 하니 비밀번호를 바꿀 수밖에 없을 테다. 서비스마다 다른 비밀번호를 쓰면 불편하긴 하지만 보안적인 측면에서는 훨씬 낫다. 해커가 한 서비스에서 로그인 정보를 빼돌려도 다른 곳에서 그 정보를 쓸 수 없기 때문이다.

gyb_pw_alert_blog

구글은 그동안 피싱 피해를 예방하려고 계속 노력해 왔다. 웹사이트가 악성코드에 감염되지 않았는지 일일이 확인해 10억명이 넘는 사용자에게 알려주는 세이프브라우징 기술을 크롬과 사파리, 파이어폭스 웹브라우저 사용자에게 제공한다. 또 구글에 접속할 때 이중 인증 기능을 쓸 수 있도록 했다.

드류 하인츠 구글 보안 개발자는 <와이어드>에 “비밀번호 경보 크롬 확장 프로그램이 사용자가 비밀번호를 적어넣은 곳이 안전한 곳인지 구별할 수 있도록 도울 것”이라고 말했다.