GN⁺: 구글 싱크 및 보안이 취약한 앱 지원 중단

 (workspaceupdates.googleblog.com)
1P by neo 10달전 | favorite | 댓글 1개

Google Workspace 업데이트

  • 2024년 9월 30일부터: Google 계정 및 Google Sync에 액세스하기 위해 비밀번호만 사용하는 타사 앱은 더 이상 지원되지 않음.
  • 변경 사항: Google Workspace는 사용자의 Google 사용자 이름과 비밀번호를 공유해야 하는 타사 앱 또는 장치의 로그인 방법을 더 이상 지원하지 않음.
  • 보안 위험: 이전 방식인 Less Secure Apps (LSA)는 Google 계정 자격 증명을 타사 앱과 장치와 공유해야 하므로 보안 위험을 증가시킴.
  • 보다 안전한 방법: Google로 로그인하는 옵션을 사용해야 하며, 이는 OAuth 인증 방식을 사용하여 이메일을 다른 앱과 동기화하는 더 안전하고 보안성이 높은 방법임.

LSA 접근 중단 일정

  • 2024년 6월 15일부터: LSA 설정이 관리 콘솔에서 제거되며 변경할 수 없게 됨. 활성화된 사용자는 연결할 수 있지만 비활성화된 사용자는 더 이상 LSA에 접근할 수 없음.
  • 2024년 9월 30일부터: 모든 Google Workspace 계정에 대해 LSA 접근이 중단됨. CalDAV, CardDAV, IMAP, POP 및 Google Sync는 비밀번호만으로 로그인할 때 작동하지 않으며 OAuth를 사용해야 함.

Google Sync 서비스 종료

  • 2024년 6월 15일부터: 새 사용자는 Google Workspace에 Google Sync를 통해 연결할 수 없음.
  • 2024년 9월 30일: 기존 Google Sync 사용자는 Google Workspace에 연결할 수 없음.

관리자 및 최종 사용자에 대한 지침

  • 관리자: 최종 사용자가 Google Workspace 계정과 함께 이러한 유형의 앱을 계속 사용할 수 있도록 OAuth라는 더 안전한 액세스 유형으로 전환해야 함.
  • 모바일 장치 관리(MDM) 영향: MDM 공급자를 사용하여 IMAP, CalDAV, CardDAV, POP 또는 Exchange ActiveSync (Google Sync) 프로필을 구성하는 조직은 서비스가 단계적으로 중단됨.
  • 스캐너 및 기타 장치: SMTP 또는 LSA를 사용하여 이메일을 보내는 스캐너 또는 기타 장치는 OAuth를 사용하도록 구성하거나 대체 방법을 사용하거나 장치와 함께 사용할 앱 비밀번호를 구성해야 함.

최종 사용자에 대한 지침

  • 이메일 애플리케이션: Outlook 2016 이전 버전을 사용하는 경우 Microsoft 365로 이동하거나 OAuth 액세스를 지원하는 Windows 또는 Mac용 Outlook으로 전환해야 함.
  • 캘린더 애플리케이션: 비밀번호 기반 CalDAV를 사용하는 앱을 사용하는 경우 OAuth를 지원하는 방법으로 전환해야 함.
  • 연락처 애플리케이션: iOS 또는 MacOS에서 CardDAV를 통해 연락처를 동기화하고 비밀번호만으로 로그인하는 경우 계정을 제거하고 다시 추가해야 함.

개발자에 대한 지침

  • 개발자: Google Workspace 계정과의 호환성을 유지하기 위해 앱을 업데이트하여 OAuth 2.0을 연결 방법으로 사용해야 함.

사용 가능성

  • 이 변경 사항은 모든 Google Workspace 고객에게 영향을 미침.

GN⁺의 의견

  • 이 업데이트는 Google Workspace 사용자의 보안을 강화하기 위한 중요한 조치임. 비밀번호만 사용하는 덜 안전한 앱(LSA) 대신 OAuth를 사용하여 계정 보안을 강화하는 것은 현대 사이버 보안 환경에서 필수적임.
  • 관리자와 최종 사용자 모두에게 영향을 미치며, 특히 이메일, 캘린더, 연락처 앱을 사용하는 사용자들은 새로운 인증 방식으로 전환할 필요가 있음.
  • 이 글은 Google Workspace 사용자와 관리자에게 향후 보안 업데이트에 대비하고 필요한 조치를 취할 수 있도록 유용한 정보를 제공함.
neo 10달전  [-]
Hacker News 의견

  • 사용자는 Gmail과 상호작용하는 스크립트를 가지고 있어서 "Less Secure Apps" 지원 중단 소식에 놀랐으나, 앱 비밀번호는 계속 작동할 것으로 보임을 안심함. OAuth만 지원하는 상황이 오면 많은 자동화가 중단될 것을 우려함. OAuth의 복잡성에 대해 불만을 표하며, OAuth 작동 방식을 명확하게 설명한 Perl 모듈 문서를 긍정적으로 평가함.

  • OAuth를 사용할 수 없는 경우, 사용자는 자신의 프록시를 사용하여 IMAP 또는 POP/SMTP 클라이언트가 OAuth 2.0을 지원하지 않더라도 "현대적인" 이메일 제공자와 사용할 수 있도록 할 수 있음. 클라이언트가 OAuth에 대해 알 필요가 없음.

  • IMAP, SMTP, POP은 구글 계정에 상당한 접근을 허용하지만 2단계 인증이나 로봇 방지 검증을 할 수 없어, 크리덴셜 스터핑 공격에 취약함. 구글은 이러한 공격으로부터 사용자를 보호하기 위해 이러한 접근을 기본적으로 비활성화했으며, 이번 조치는 나머지 사용자를 위한 것임을 긍정적으로 평가함.

  • 이번 변화는 사용자들을 구글 자체 메일 앱으로 이동시키려는 의도가 있음을 지적함. Gmail 앱이나 곧 폐지될 Google 동기화 없이는 실시간 메일 알림을 받을 수 없음. 사용자는 Google Workspace에 대해 비용을 지불하고 있음에도 불편함을 표현함. 데스크톱에서는 Mimestream이 여전히 작동하지만, 구글이 이를 막으려 할 것이라고 우려함.

  • Android에서 Oauth2와 Google의 가장 성가신 점은 전화기 전체를 Google 계정과 연동하지 않고는 이메일 클라이언트나 캘린더에 Google 계정으로 로그인할 수 없다는 것임. 또한 이 Google 계정으로 기기에 정책 권한을 부여함. 사용자는 이를 완전히 무시할 수 없으며, Android에서 Google이 WebView 내에서의 oauth2 사용을 쉽게 제한할 수 있음을 지적함.

  • 앱 비밀번호는 16자리 암호로, 2단계 인증이 활성화된 계정에서만 사용할 수 있음. "덜 안전한 앱"이 OAuth를 지원하는 앱과 동일한 수준의 보안을 제공하지만, Google이 오랫동안 홍보할 수 있었던 서버 측 메커니즘을 사용함으로써 가능함을 지적함. Google이 보안 문제를 자사의 의제를 촉진하는 방식으로 해석하는 것에 대해 비판적인 의견을 제시함.

  • 앱 특정 비밀번호(App-Specific Passwords)가 계속 작동할 것으로 보이며, OAuth를 지원하지 않는 앱을 사용하는 경우 OAuth를 지원하는 앱으로 전환하거나 앱 비밀번호를 생성하여 접근해야 함을 설명함.

  • 이번 변경사항은 Workspace 계정에만 적용되며, 일반 Gmail 계정에는 몇 년 전에 이미 적용되었음을 설명함.

  • 약 10년 전, Google 계정 디렉토리와의 통합을 통해 내부 네트워크에 개별 Google 계정으로 인증할 수 있는 시스템을 구축함. 현대 기준으로는 덜 안전하지만, VPN을 통하지 않고도 내부 네트워크에 즉시 연결할 수 있어 모두에게 시간을 절약해줌을 긍정적으로 평가함.

  • Microsoft의 OAuth 전환을 처리하면서 어려움을 겪었으며, 문제는 프로세스가 매우 불투명하다는 것임. 토큰을 보내고 서버가 "아니오"라고만 답변하며, 왜 작동하지 않는지에 대한 설명이 없어 문제 해결에 며칠을 소비함. Google의 메일 서버가 더 나은지에 대한 의문을 제기함.

답변달기