‘Password Alert’ 구글의 새로운 크롬 확장 프로그램으로 피싱 공격에 맞서다

‘Password Alert’ 구글이 피싱 공격에 맞서기 위해 자체 크롬 확장 프로그램을 개발하다

보안이 아무리 잘 되어 있어도 가장 큰 위험은 항상 동일합니다: 사용자가 잘못된 링크를 클릭하여 잘못된 웹사이트에 비밀번호를 제출하는 것입니다. 이는 해결하기 어려운 문제이지만, 구글은 이를 해결하기 위한 새로운 개념을 제시했습니다. 오늘, 이 회사는 피싱 공격에 대한 조기 경고 시스템으로 작용하도록 설계된 Password Alert라는 새로운 크롬 확장 프로그램을 발표하고 있습니다. 구글 아이디어의 제품 관리자 저스틴 코슬린은 “피싱은 모든 사람에게 진정한 우려 사항이어야 합니다 — 기자, 활동가, 기업 또는 개인”이라고 말합니다. “이는 실제 도전에 대한 유용하고 조용한 방어선입니다.”

/cdn0.vox-cdn.com/uploads/chorus_asset/file/3653462/phishing_caught.0.png)

이 확장 프로그램은 사용자가 브라우저에 입력하는 문자 문자열과 대조하여 비밀번호의 해시 버전을 검사하는 방식으로 작동합니다. 예를 들어, 사용자가 비구글 웹사이트에 구글 비밀번호를 입력하면, 잘못된 것이 있음을 알리는 경고 페이지로 리디렉션됩니다. (사용자가 여러 계정에 대해 구글 비밀번호를 사용할 수도 있지만, 이는 보안 위험이 적을 수 있으며 여전히 문제가 될 수 있습니다). Password Alert는 비밀번호의 해시 버전만 유지하므로 실제 비밀번호를 노출하지 않고도 검사를 수행할 수 있습니다. 구글 포 워크 계정을 관리하는 누구나 자신의 도메인에서 Password Alert를 의무화할 수 있습니다. 직원이 알림을 받는 순간, 관리자는 동시에 동일한 알림을 받게 됩니다.

가장 큰 단점은 Password Alert가 비밀번호가 성공적으로 제출된 후에만 스캔을 수행한다는 것입니다. 결과적으로 사용자는 비밀번호가 성공적으로 피싱된 후에만 알림을 받게 됩니다. (만약 스캔이 더 일찍 실행되었다면, 사용자가 컴퓨터에 입력한 모든 내용을 기록하게 되어 더 큰 보안 위험이 발생했을 것입니다). 그럼에도 불구하고, 늦은 알림은 사용자가 비밀번호를 변경하고 계정을 종료할 시간을 제공합니다. 해커가 이를 이용하기 전에 이중 인증을 통해 비밀번호를 쉽게 변경할 수 있어야 합니다.

Password Alert는 구글 계정 외부의 보안을 강화하는 데에도 도움을 줄 수 있습니다. 현재 확장 프로그램은 구글의 비밀번호 시스템과 결합되도록 만들어졌지만, 코드가 오픈 소스이기 때문에 다른 시스템에 맞게 코드를 조정하기 쉽습니다. 코슬린은 “우리는 오픈 소스가 Password Alert를 확장하여 인터넷 사용자에게 추가 보안을 제공하기를 바랍니다”라고 말합니다. “오늘의 출시는 시작에 불과합니다.”

Password Alert가 당신에게 적합한 확장 프로그램이라고 생각한다면, 여기에서 다운로드할 수 있습니다.