“이메일 피싱은 물론 키보드 입력 내용을 모두 빼내는 ‘키 로깅’으로 개인 정보가 줄줄 샌다”
구글이 고객 계정의 보안을 강화하기 위해 자사 연구원들을 동원해 모의해킹 실험을 벌인 결과 확인한 것이다.
CNN테크에 따르면 구글은 자사 연구원들이 지난해 3월부터 올해 5월까지 해커들이 어떤 방식으로 구글 계정을 해킹해 개인정보를 훔치는지를 분석한 연구결과를 지난 9일 발표했다.
구글 연구원들은 미국 버클리 캘리포니아대학의 협조 아래 해킹수단 2만5,000개를 동원해 구글 계정에 침투하는 가상 실험에 나섰다.
연구에 따르면 미국 신용정보기관인 에퀴팩스 해킹 때처럼 데이터 유출은 해커들이 가장 쉽게 데이터에 접근하는 방법으로 드러났다. 구글은 이 방법을 통해 1년 동안 아이디와 비밀번호 19만 개가 유출됐다고 밝혔다.
하지만 해커들은 데이터 유출보다는 믿을만한 지인 등을 가장해 정보를 탈취하는 피싱이나 악성 코드를 심어 키보드로 입력된 모든 정보를 빼내는 키 로깅(Key logging) 방식으로 더욱 적극적으로 해킹에 나섰다.
구글은 모의실험에서 피싱으로 정보를 탈취당할 가능성이 드러난 고객 수는 1,240만 명에 달했다고 전했다. 키 로깅을 통한 잠재적 피해자 수도 78만8,000명이었다. 특히 구글은 피싱과 키 로깅을 통해 매주 로그인 기록 25만여 건을 훔칠 수 있었다고 전했다.
구글은 해커들이 비밀번호만으로 계정에 접근하는 것이 어려워지자 로그인 정보를 훔치는 동시에 위치, 전화번호 등 민감한 정보도 함께 수집하고 있다고 전했다.
구글은 이는 해커들이 어떻게 정보를 훔치는지를 장기간, 포괄적으로 연구한 첫 연구라며 고객들에게 더 나은 계정 보안을 제공하기 위해 실험에 나섰다고 설명했다.
커트 토머스 구글 보안연구원은 “해커들이 접근할 수 있는 개인정보의 범위가 얼마나 되는지 확인한 것이 이번 실험의 가장 흥미로운 점이었다”고 밝혔다.