카스퍼스키 랩 수석 보안 연구원 데이비드 자코비가 지난주 개최한 시큐리티 애널리스트 서밋에서 구글 지메일 계정을 해킹하는 방법을 시연했다. 해킹 과정이 지나치게 간단해 눈길을 끈다.
방법은 이렇다. 지메일 2FA(two factor authentication)를 활성화시킨 상태에서 비밀번호를 잊어버렸다면 구글은 사용자에게 SMS를 보내거나 6~8자리의 코드로 전화를 건다. 사용자가 코드를 입력하면 계정에 접근할 수 있게 된다.
해킹 시연은 스웨덴을 기반으로 이뤄졌다. 참고로 스웨덴 정부는 누구나 특정 전화번호의 이동통신사를 쉽게 검색할 수 있는 서비스를 실시하고 있다.
해킹 대상을 선택한 후 해커는 통신 서비스 기업에 전화를 걸어 일시적으로 다른 번호 (범죄자 소유)로 재연결되도록 요청했다. 통신사 지원팀에 전화를 걸어 "지금 중요한 전화를 받아야 한다. 그러나 내 전화기가 지금 내게 없다. 내게 오는 모든 전화를 XXXXXX 번호로 돌려주기를 요청한다. 고맙다"라고 말하는 것만으로 그의 요청은 수락됐다.
이후 구글에 인증 코드를 요청함으로써 계정에 대한 접근 권한을 간단히 획득할 수 있었다.
자코비에 따르면 해당 스웨덴 통신사는 시연 이후 검증 절차를 검토하는 있는 중이다. ciokr@idg.co.kr