GN⁺: g.co, Google의 숏 URL을 이용한 피싱 공격 사례

• 해커가 Google 공식 URL 숏도메인 g.co의 하위 도메인(important.g.co)을 악용해 정교한 피싱 공격을 시도한 사례임
• 전화 발신자 표시가 "Google"로 뜨고, 발신번호도 (650) 203-0000이어서 실제 Google에서 걸려온 것처럼 보임
• 통화 품질이나 언어 구사도 자연스러워, 피싱임을 의심하기 어려운 수준이었음

통화 내용 개요

• 발신자는 "Google Workspace" 직원이라 주장하며, 사용자가 최근 프랑크푸르트 IP에서 로그인 시도가 있었는지 묻는 상황 설명을 함
• 사용자가 의심하며 “Google 공식 이메일로 확인해 달라” 요구하자, important.g.co 주소로 메일을 보냄
• Google 측에서 운영하는 것으로 알려진 g.co 하위 도메인이었기에 신뢰하기 쉽도록 유도함
• 이후 기기 세션을 재설정한다며, 2단계 인증(2FA) 코드를 사용자에게 전송하고 해당 코드를 누르도록 유도함
• 코드를 클릭할 경우, 해커가 사용자의 Google 계정 접근 권한을 획득할 수 있는 구조였음

이메일 및 도메인 분석

• g.co 자체는 Google의 공식 단축 URL 도메인임
• 그러나 important.g.co와 같은 하위 도메인을 마음대로 생성할 수 있는 방식의 취약점이 존재하는 것으로 추정됨
  • Google Workspace의 도메인 인증 과정 결함을 악용하여 g.co 하위 도메인을 검증 없이 확보한 것으로 보임
• 발신된 이메일의 DKIM/SPF 등도 정상적으로 통과되어, 진짜 Google에서 보낸 메일처럼 표시됨

공격 과정 주요 포인트

• 전화 스푸핑: Caller ID가 "Google"로 표시되도록 조작함
• 공식 연락 수단 유사성: 알려진 Google 전화번호를 언급하면서, 실제 Google 서포트 페이지를 보여 주어 신뢰를 얻음
• 정교한 음성 지원: 발신자의 언어 및 태도, 흐름 등이 실제 엔지니어처럼 매우 설득력 있게 연출됨
• g.co 하위 도메인 메일: 사용자에게 메일을 보내 “Google 내부 서브넷”이라 설명하여 의심을 무디게 함
• 2FA 코드 요구: 최종적으로 기기 세션 로그아웃을 유도하며, 사용자가 2FA 코드를 누르면 해커가 계정에 접근 가능함

Hack Club 측 분석

• Google Workspace에서 important.g.co 같은 하위 도메인을 실제로 확보할 수 있었다는 가설 제시
• 해당 취약점으로 g.co 내부 서브도메인을 Google Workspace 계정에 연결할 수 있어, SPF/DKIM 인증 메일을 합법적으로 발송 가능해짐
• 여러 기여자가 이메일 헤더, 도메인 설정 등을 검토해 문제를 확인함

요약

• 전통적으로 알려진 “공식 번호 확인”과 “공식 도메인으로 온 이메일” 확인만으로는 안전하지 않을 수 있음을 시사함
• 전화나 이메일이 진짜 Google임을 방증하는 여러 요소(전화번호, 도메인, DKIM/SPF)도 신뢰를 보장하지 못함
• 의심스러운 상황에서 요청받은 2FA 코드를 누르거나 전달하는 행위에 특히 주의가 필요함
• Google Workspace 계정과 도메인 인증의 취약점을 악용한 사례로 보이며, 서비스 공급자 측의 보안 개선이 요구됨