Google, 4대 사기 위협 동향과 방어 전략 공개

{

"deep_dive": [

{

"content": "AITM(Adversary-in-the-Middle) 공격은 기존 피싱 수법의 진화 형태로, 공격자가 정상적인 로그인 과정을 그대로 재현해 사용자의 비밀번호와 세션 쿠키(Session Cookie)를 한꺼번에 탈취합니다. 이 방식의 가장 위험한 점은 다단계 인증(MFA)을 무력화할 수 있다는 것입니다. 공격자가 세션 쿠키를 빼앗으면 마치 정당한 사용자인 것처럼 인증을 우회합니다.\n• 클라우드 신뢰 악용: 유명 클라우드 생산성 도구에 악성 페이로드 호스팅하여 보안 필터를 우회하는 평판 우회 공격(Reputation Bypass) 발생\n• 보이지 않는 페이지: 클라우드 문서의 숨겨진 페이지를 악용해 피싱 랜딩 페이지를 호스팅하고 표준 웹 필터를 회피\n• ClickFix 캠페인: 가짜 브라우저 업데이트 유도 메시지로 Google Sites에 멀웨어 배포(Malware Distribution) 수행\nGoogle은 이러한 위협에 대응하기 위해 DBSC(Device Bound Session Credentials)를 도입하여 활성 세션 쿠키의 도용을 방지하고 있습니다."

}

]

}

악성 금융 앱은 사용자에게 정당한 유틸리티 앱으로 보이게 만든 후, 앱 스토어 심사를 통과한 후 설치 후 악성 업데이트(Post-Installation Malware Update)를 통해 접근성 서비스를 악용한다. 이 버저닝(Versionsing) 전술의 핵심은 심사 시점에는 악성 코드가 존재하지 않아 감지를 회피한다는 점이다.

Google의 Trust & Safety 팀은 이러한 전술에 대응하기 위해 설치 후 앱 행동 감시 시스템(Post-Installation Behavior Auditing)을 강화하고 있으며, 'Government Verified Apps Programme'을 통해 공식 정부 앱 사칭을 방지하고 있다.

{

"content": "사기꾼들은 법집행 기관과 정부에 대한 대중의 신뢰를 악용하여 디지털 체포(Digital Arrest)라는 사회공격 기법을 사용합니다. 남아시아, 동남아시아, GCC 국가에서 활발히 활동하며, 제3자 메시징 앱을 통해 피해자들에게 접근하여 가짜 회의나 캘린더 초대장을 보내는 수법을 씁니다.\n• 고압적인 음성·영상 통화: 정부 브랜드를 내세우며 공격적인 사회공격으로 피해자들이 재정 범죄 조사 대상이라고 오해하게 만듭니다\n• 선불식 법적 수수료 요구: 합법적인 정부는 절대 제3자 메시징 앱으로 연락하지 않으며, 결제를 요구하거나 법적 위협을 가하지 않습니다\nGoogle은 이러한 조직적 사기 네트워크에 대응하기 위해 다층 방어 체계(Multi-Layered Defense)를 각 남용 수명 주기 단계에 구축하고, Gmail 프로그램 정책과 핵심 사칭 정책을 통해 즉시 계정 정지 조치를 취하고 있습니다."

}

Google은 2년 전 Government Verified Apps Programme을 도입하여 정부 앱 사칭 문제를 해결했다. 현재 이 보호 체계를 확장하여 인증된 Android 기기에 설치되는 앱에 대해 개발자 신원 인증(성명, 주소, 신분증)을 요구하는 새로운 보안 조치를 도입하고 있다.

이 정책은 악성 앱 개발자의 추적을 용이하게 하지만, 신원 정보 수집에 따른 데이터 프라이버시(Data Privacy) 이슈와 중앙화된 신원 데이터베이스의 보안 위험도 동시에 고려해야 한다.

Google은 암호화폐 투자 사기에 대응하기 위해 Unreliable Claims 정책을 시행하고 있다. 이 정책은 "기대할 수 없는 대규모 재정 수익"을 약속하는 광고를 금지한다. 동시에 Unacceptable Business Practices 정책은 신뢰할 수 있는 브랜드나 암호화폐 플랫폼을 사칭하려는 행위자에 대한 제재를 가능하게 한다.

암호화폐의 의사익명성(Pseudonymity)으로 인해 전통적인 금융 시스템보다 추적이 어렵고, 사기범들은 새로운 플랫폼과 채널을 지속적으로 탐색하므로 정책 집행만으로는 한계가 있다.