Google의 18억 Gmail 사용자에 대한 새로운 보안 경고가 Gmail BIMI 인증 시스템의 취약성으로 인해 발령되었습니다. 사기꾼들이 이 보안 기능을 악용하여 사용자를 위험에 빠뜨렸습니다.
이 도움말에서는 최근 발생한 Gmail 보안 사례와 관련된 발견, 완화 노력 및 예방 방법을 살펴봅니다. 스푸핑 공격을 차단하는 데 있어 PowerDMARC의 역할에 대해서도 다룹니다.
발견: Gmail의 BIMI 식별자 악용하기
Gmail의 보안은 항상 큰 판매 포인트였습니다. 하지만 최근 주요 보안 기능 중 하나에서 중대한 결함이 발견되었습니다.
지난달 Google은 Gmail에 BIMI 확인 표시 시스템을 도입했습니다. 이 시스템은 사용자가 사기꾼이 보낸 이메일과 진짜 이메일을 구분할 수 있도록 도와줍니다.
그러나 사기꾼들은 이 시스템을 악용하는 방법을 찾아내어 다음과 같은 피해를 입히고 있습니다. Gmail의 18억 사용자 위험에 처하게 되었습니다.
피싱 및 사칭 공격에 대응하기 위해 도입되었습니다. 파란색 Gmail 파란색 인증 확인 표시 시스템은 검증된 회사와 조직을 사용자에게 강조 표시합니다.
사용자에게 신뢰를 심어주고 어떤 이메일이 합법적인지, 어떤 이메일이 사칭자가 보낸 것인지 구분할 수 있도록 하자는 취지였습니다. 하지만 안타깝게도 사기꾼들은 시스템을 조작하는 데 성공했습니다.
완화: Google이 문제를 인정함
Gmail의 사이버 보안 엔지니어인 크리스 플러머는 사기꾼들이 Gmail BIMI 시스템을 조작하는 것을 최초로 발견했습니다. 사기범들은 Gmail이 가짜 브랜드를 진짜로 인식하도록 속였습니다. 이를 통해 사기꾼들은 시스템의 목적을 우회할 수 있었습니다. 사용자 신뢰를 구축하기 위한 것이었죠.
플러머는 발견 즉시 구글에 보고했습니다. 구글은 취약점을 해결하기 위한 신속한 대응을 기대했습니다. 구글은 처음에 그의 발견을 무시했습니다. "의도된 행동"이라고 불렀죠. 이로 인해 보안 전문가와 사용자들은 실망감을 감추지 못했습니다.
플러머의 트윗으로 인해 발생한 관심과 이 문제가 입소문을 타고 확산된 덕분에 Google은 곧 문제의 심각성을 인식했습니다. 구글은 이 오류를 인정하고 최우선 수정 사항으로 분류했습니다.
Gmail 보안팀은 플럼머에게 보낸 성명에서 이 문제에 대한 인식을 지속적으로 제기해준 플럼머에게 감사를 표했습니다. 또한 해당 팀이 취약점을 해결하고 있다고 그와 사용자 커뮤니티를 안심시켰습니다.
예방: 해결책을 향한 노력
Gmail 보안팀에서 Gmail의 BIMI 인증 시스템의 결함을 적극적으로 해결하고 있습니다. 혼란을 일으킨 점에 대해 사과했습니다. 또한 문제를 신속하게 해결하겠다는 약속도 밝혔습니다.
현재 수정 작업이 진행 중입니다. Gmail 보안팀은 사용자에게 평가 결과와 문제 해결 방향에 대한 정보를 계속 알려드리고자 합니다. 수정이 완료되기를 기다리는 동안 Gmail 사용자는 의심스러운 이메일을 처리할 때 주의를 기울이고 경계를 늦추지 말아야 합니다.
업데이트: 문제의 범위 이해하기
최근 Gmail의 로고 인증 시스템에 대해 살펴봤습니다. 사기꾼들이 이 시스템을 악용하는 방법과 다른 이메일 서비스에 미치는 영향에 대해 살펴보았습니다.
조나단 루덴버그는 Gmail 보안팀의 디버거입니다. 그는 Gmail의 해킹을 재현하여 다른 주요 이메일 서비스도 유사한 공격에 취약하다는 것을 보여주었습니다.
이 폭로로 인해 보안 커뮤니티에서는 Gmail 인증 방법의 취약성과 부실한 구현에 대한 우려가 제기되었습니다.
루덴버그는 Gmail의 BIMI 구현이 SPF만 일치하면 된다는 사실을 발견했습니다. DKIM 서명은 모든 도메인에서 사용할 수 있습니다.
이 잘못된 구성으로 인해 BIMI 사용 도메인의 SPF 레코드에 있는 공유 또는 잘못 구성된 메일 서버가 스푸핑된 메시지를 보낼 수 있습니다. 이러한 메일 서버는 Gmail에서 완전한 BIMI 처리를 받게 됩니다.
다른 주요 이메일 서비스에서 BIMI에 대한 추가 조사를 통해 다음과 같은 사실이 밝혀졌습니다:
- iCloud는 DKIM이 보낸 사람 도메인과 일치하는지 제대로 확인합니다.
- 야후는 평판이 높은 대량 전송에만 BIMI 처리를 적용합니다.
- 패스트메일은 취약하지만 그라바타를 지원하며 두 가지 모두에 동일한 처리 방식을 사용하여 영향을 최소화합니다.
- Apple Mail + Fastmail은 위험한 처리에 취약합니다.
이러한 결과는 더 나은 보안이 필요하다는 것을 보여줍니다. 이는 많은 이메일 서비스 전반에 걸쳐 필요합니다. 사기꾼이 약점을 악용하는 것을 막을 수 있습니다.
업데이트: Google의 대응 및 즉각적인 조치
Google 언론팀에서 Gmail 인증 해킹에 대한 자세한 정보를 제공했습니다. 이 문제는 악의적인 공격자가 실제보다 더 신뢰할 수 있는 것처럼 보이게 하는 타사 보안 취약성에서 비롯됩니다.
사용자 안전을 보장하기 위해 Google은 이제 발신자가 DKIM을 사용하도록 요구합니다. 이는 보다 강력한 이메일 인증 표준입니다. 발신자는 메시지 식별을 위한 브랜드 표시(파란색 체크 표시) 상태를 얻으려면 DKIM이 필요합니다.
DKIM은 더 강력한 수준의 인증을 제공하고 스푸핑 공격을 방지하는 데 도움이 됩니다.
Google은 이번 주말까지 이 취약점을 해결하는 수정 사항이 완전히 배포될 것이라고 사용자에게 약속했습니다. 이 문제를 신속하게 발견하고 수정한 것은 Google이 사용자 보안에 최선을 다하고 있음을 보여줍니다.
하지만 구글은 인증 시스템을 구축해야 합니다. 이는 쉽게 악용할 수 있는 타사 서비스 위에 구축될 것입니다. 여러 관찰자들이 이 점을 강조했습니다. 그들은 강력한 인증 시스템의 필요성을 강조합니다. 사용자의 신뢰와 안전을 지키기 위해서입니다.
스푸핑 및 PowerDMARC: 공격에 대한 방어
사기꾼과 해커는 스푸핑을 사용하여 사용자를 속입니다. 스푸핑은 이메일을 실제 출처에서 보낸 것처럼 보이게 합니다. 스푸핑된 이메일은 금전적 손실과 개인 정보 유출 등 치명적인 결과를 초래할 수 있습니다. 스푸핑 공격을 방지하려면 강력한 이메일 인증 조치가 필요합니다.
그러한 솔루션 중 하나가 PowerDMARC입니다. 이 솔루션은 이메일 보안 플랫폼입니다. 스푸핑 공격에 대한 고급 보호 기능을 제공합니다.
PowerDMARC는 업계 표준 이메일 인증 프로토콜을 사용합니다. 여기에는 다음이 포함됩니다. DMARC. 이는 도메인 기반 메시지 인증, 보고 및 준수의 약자입니다. 또한 SPF는 발신자 정책 프레임워크, 그리고 DKIM은 도메인 키 식별 메일을 의미합니다. 이러한 프로토콜은 함께 작동합니다. 이 프로토콜은 이메일의 진위를 확인하고 권한이 없는 발신자가 실제 도메인을 스푸핑하지 못하도록 차단합니다.
PowerDMARC를 구현하면 스푸핑 위험을 크게 줄일 수 있습니다. 또한 사기와 피싱으로부터 사용자를 보호할 수 있습니다.
PowerDMARC는 실시간 이메일 인증 및 보고 기능을 제공합니다. 이를 통해 조직은 이메일 시스템을 모니터링할 수 있습니다. 권한이 없는 발신자를 찾아내고 신속하게 조치하여 위험을 줄일 수 있습니다.
결론 진화하는 위협에 맞서 보안의 우선순위 정하기
최근 Gmail 보안 경고는 취약성에 관한 것이었습니다. 이는 변화하는 위협에 대한 경각심을 유지하는 것이 얼마나 중요한지 보여줍니다.
구글은 해당 취약점을 수정하고 있습니다. 하지만 사용자는 주의를 기울이고 추가 보안 조치를 사용해야 합니다. 이를 통해 잠재적인 사기로부터 사용자를 보호할 수 있습니다.
조직은 PowerDMARC를 사용하여 이메일 보안을 개선할 수 있습니다. 사용자에게 더 안전한 디지털 환경을 제공할 수 있습니다. 모든 이메일 상호 작용에서 경각심을 갖고 비판적으로 생각하며 보안에 우선순위를 두세요.
- 강화된 피싱 공격에서 구실 사기의 부상 - 2025년 1월 15일
- 2025년부터 결제 카드 업계에 DMARC가 의무화됩니다. - 2025년 1월 12일
- NCSC 메일 검사 변경 사항 및 영국 공공 부문 이메일 보안에 미치는 영향 - 2025년 1월 11일