구글, 보안 결함 수정…사용자 개인 전화번호 노출 위험 해소

Google은 사용자의 개인 전화번호를 노출시킬 수 있는 버그를 수정했습니다. 이 버그는 잠재적으로 사용자에게 프라이버시와 보안 위험을 초래할 수 있었으며, 보안 연구원이 이 문제를 발견한 후 회사에 알렸습니다. Google의 계정 복구 기능에 있는 이 버그를 이용하면 특정 계정의 개인 회복 전화번호를 주인에게 알리지 않고도 파악할 수 있었습니다. 독립적인 보안 연구원인 'brutecat'은 자신의 블로그에서 이 발견을 공개하며, TechCrunch에 이 사실을 알렸습니다. 이 연구원은 Google 계정 복구 기능의 여러 개별 프로세스가 함께 작동함으로써 발생하는 '공격 체인'을 활용해 사용자의 개인 회복 전화번호를 얻었다고 설명했습니다. 이 공격 체인에는 대상 계정의 전체 표시 이름 유출과 Google이 악성 비밀번호 재설정 요청을 막기 위해 설정한 봇 차단 메커니즘 우회 등이 포함되었습니다. 봇 차단 메커니즘을 우회하면, 연구원이 짧은 시간 내에 Google 계정의 전화번호 모든 조합을 시도하여 올바른 숫자를 도출할 수 있었습니다. 연구원은 스크립트를 사용해 공격 체인을 자동화함으로써, 20분 이내에 Google 계정 소유자들의 개인 회복 전화번호를 브루트 포스 공격으로 파악할 수 있었다고 밝혔습니다. 이를 검증하기 위해 TechCrunch는 이전에 사용되지 않은 새로운 전화번호로 Google 계정을 생성한 후, 해당 계정의 이메일 주소를 brutecat에게 제공했습니다. 잠시 후, brutecat은 우리가 설정한 전화번호를 메시지로 보내왔습니다. "빙고 :)"라는 메시지를 통해 성공을 알렸습니다. 개인 회복 전화번호가 드러나면 심지어 익명의 Google 계정도 표적 공격을 받을 수 있습니다. 예를 들어, 숙련된 해커는 Google 계정에 연결된 개인 전화번호를 식별하고 SIM 스왑 공격을 통해 해당 번호를 장악할 수 있습니다. 이렇게 해킹되면, 공격자는 해당 전화번호로 발송되는 비밀번호 재설정 코드를 생성하여 관련된 모든 계정의 비밀번호를 재설정할 수 있습니다. TechCrunch는 이 문제가 수정될 때까지 이 이야기를 공개하지 않기로 합의하였습니다. Google의 대변인 Kimberly Samra는 "이 문제가 수정되었습니다. 우리는 보안 연구 커뮤니티와 협력하는 것이 중요하다는 점을 항상 강조하였으며, 이 문제를 알린 연구원에게 감사드립니다"라고 말했습니다. 또한 "이런 연구원 제출 사항은 사용자 안전을 위해 신속하게 문제를 찾아 해결하는 여러 방법 중 하나"라고 덧붙였습니다. Samra는 "현재까지 이 버그를 악용한 직접적인 증거는 확인되지 않았다"고 전했습니다. brutecat 연구원은 Google으로부터 이 발견에 대한 버그 바운티 보상을 5,000달러를 받았습니다. 이 사건은 Google의 보안 체계에 대한 중요한 시사점을 제공합니다. 보안 연구원들이 발굴한 취약점은 회사가 빠르게 대응하여 사용자의 안전을 보장할 수 있도록 하는데 결정적인 역할을 했습니다. Google은 이러한 보안 보상 프로그램을 통해 연구원들과의 협력을 지속적으로 강화하고 있으며, 이번 사건은 그 노력의 일환으로 평가됩니다.