구글 워크스페이스 피싱 탐지 기능[사진=구글]
구글이 11일(현지시간) 연례 개발자 콘퍼런스 '구글 I/O'에서 정보보호 분야에 향후 5년간 100억 달러(약 13조원)를 투자하고, 구글 직업 훈련 프로그램(Google Career Certificates)을 통해 10만명의 정보보호 전문가를 육성하겠다고 밝혔다.
로얄 한센(Royal Hansen) 엔지니어링 부사장은 "개인정보보호는 무엇보다 보안에서 시작한다. 보안이 강구돼야 개인정보를 지킬 수 있다. 콜로니얼 파이프라인 랜섬웨어 공격이나 로그4J 취약점 등은 사용자 데이터를 위협하며 기간시설을 중단시키기도 한다"며 "정권이나 민주주의 체제도 그 어느 때보다 많이 공격 대상이 되고 있다. 우리는 이번 투자를 통해 사이버보안을 강화하고, 취약한 시스템과 인프라를 현대화하도록 지원하며, 소프트웨어 공급망 전체에 걸쳐 보안을 강구할 것"이라고 말했다.
이러한 보안 강화 전략은 구글의 각종 서비스에도 적용된다. 구글은 오래전부터 사용자 안전을 감안해 제품과 서비스를 개발해왔다고 밝혔다. 예를 들어 구글 지메일의 경우 인공지능(AI)과 머신러닝(ML)을 통해 피싱 이메일을 탐지하고 사용자에게 경고하는 기능을 갖추고 있다. 이러한 피싱 탐지 기능은 이제 지메일뿐만 아니라 구글 독스, 시트, 슬라이드 등 클라우드 기반 협업 도구에도 적용된다.
금미 김(Guemmy Kim) 구글 프로덕트 매니지먼트 디렉터는 "오늘날 전체 사이버공격 중 90%가 피싱인 것으로 나타났다. 지난 수년간 구글은 자동화된 보호체계를 통해 사용자에게 피싱 공격이 도달하지 않도록 해왔다. 위협 분석 조직을 통해 하루 수십억 건의 피싱을 분석하기 때문에 가능한 일"이라며 "앞으로 이 기능을 구글 협업 도구에도 확대 적용한다. 문서 공동작업을 하는 환경에서 위협(악성 사이트 링크 등)이 발생하면 사용자에게 통보하고, 안전하게 격리한다"고 말했다.
이러한 피싱 공격의 목적은 대부분 개인정보나 계정을 탈취하는 것이다. 대부분의 보안 전문가는 MFA(다요소 인증 혹은 2단계 인증)를 계정 보호를 이한 주요 수단으로 꼽는다. 구글은 이미 10여년 전부터 이러한 기능을 제공해왔으며, 지난해에는 2단계 인증 기능이 기본적으로 활성화되도록 조치했다.
이번 구글 I/O에서는 여기서 더 나아가 사용자가 자신의 계정 상태를 확인하고 보호를 강화할 수 있는 직관적인 기능도 제공한다. 구글에 로그인한 상태에서 계정 보호에 문제가 있다면, 자신의 프로필 아이콘에 노란색 표시가 나타난다. 사용자가 이를 클릭하면 보안 강화를 위한 단계를 거치도록 안내한다.
향후 선보일 안드로이드 13 운영체제에도 개인정보보호 강화를 위한 기능이 포함돼 있다. 예를 들어 사진첩 연결을 요구하는 애플리케이션(이하 앱)을 설치하고 접근 권한을 부여할 경우, 해당 앱은 사진첩에 있는 모든 사진에 접근 가능하다. 하지만, 안드로이드 13에서 제공하는 '포토 피커' 기능은 특정 사진 한 장에 대해서만 권한을 허용하는 것이 가능하다.
스마트폰 설정에서는 보안 및 개인정보보호 페이지를 추가로 제공하고, 사용자의 보안 수준을 한눈에 파악할 수 있게 한다. 이밖에도 안드로이드 13에서 기본 메시지 앱은 종단간 암호화를 적용해 메시지를 주고받는 당사자 외에는 내용을 알 수 없도록 할 계획이다.
온라인 결제에서는 가상 카드번호도 지원한다. 구글은 카드번호를 계정에 저장해두고, 온라인 결제 시 이를 즉시 불러와 입력할 수 있는 기능을 지원하고 있다. 여기에 가상 카드번호를 통해 판매자에게는 실제 카드정보가 전달되지 않도록 할 계획이다. 배달 앱에서 0505로 시작하는 가상 전화번호를 이용하는 것과 같은 개념이다.
카드번호뿐만 아니라 CVC 번호까지 임시로 생성하지만, 카드사와 판매자 사이에 결제 정보는 올바르게 전달된다. 사용자는 민감한 정보를 판매자에게 제공할 필요 없이, 안전하고 빠른 쇼핑이 가능하다. 해당 기능은 올해 여름부터 미국에서 적용되며, 지원하는 카드는 비자, 아메리칸익스프레스, 캐피탈원 등이다. 마스터카드는 하반기부터 적용할 계획이며, 향후 세계적으로 서비스를 확대할 예정이다.
로얄 한센(Royal Hansen) 엔지니어링 부사장은 "개인정보보호는 무엇보다 보안에서 시작한다. 보안이 강구돼야 개인정보를 지킬 수 있다. 콜로니얼 파이프라인 랜섬웨어 공격이나 로그4J 취약점 등은 사용자 데이터를 위협하며 기간시설을 중단시키기도 한다"며 "정권이나 민주주의 체제도 그 어느 때보다 많이 공격 대상이 되고 있다. 우리는 이번 투자를 통해 사이버보안을 강화하고, 취약한 시스템과 인프라를 현대화하도록 지원하며, 소프트웨어 공급망 전체에 걸쳐 보안을 강구할 것"이라고 말했다.
이러한 보안 강화 전략은 구글의 각종 서비스에도 적용된다. 구글은 오래전부터 사용자 안전을 감안해 제품과 서비스를 개발해왔다고 밝혔다. 예를 들어 구글 지메일의 경우 인공지능(AI)과 머신러닝(ML)을 통해 피싱 이메일을 탐지하고 사용자에게 경고하는 기능을 갖추고 있다. 이러한 피싱 탐지 기능은 이제 지메일뿐만 아니라 구글 독스, 시트, 슬라이드 등 클라우드 기반 협업 도구에도 적용된다.
금미 김(Guemmy Kim) 구글 프로덕트 매니지먼트 디렉터는 "오늘날 전체 사이버공격 중 90%가 피싱인 것으로 나타났다. 지난 수년간 구글은 자동화된 보호체계를 통해 사용자에게 피싱 공격이 도달하지 않도록 해왔다. 위협 분석 조직을 통해 하루 수십억 건의 피싱을 분석하기 때문에 가능한 일"이라며 "앞으로 이 기능을 구글 협업 도구에도 확대 적용한다. 문서 공동작업을 하는 환경에서 위협(악성 사이트 링크 등)이 발생하면 사용자에게 통보하고, 안전하게 격리한다"고 말했다.
이러한 피싱 공격의 목적은 대부분 개인정보나 계정을 탈취하는 것이다. 대부분의 보안 전문가는 MFA(다요소 인증 혹은 2단계 인증)를 계정 보호를 이한 주요 수단으로 꼽는다. 구글은 이미 10여년 전부터 이러한 기능을 제공해왔으며, 지난해에는 2단계 인증 기능이 기본적으로 활성화되도록 조치했다.
이번 구글 I/O에서는 여기서 더 나아가 사용자가 자신의 계정 상태를 확인하고 보호를 강화할 수 있는 직관적인 기능도 제공한다. 구글에 로그인한 상태에서 계정 보호에 문제가 있다면, 자신의 프로필 아이콘에 노란색 표시가 나타난다. 사용자가 이를 클릭하면 보안 강화를 위한 단계를 거치도록 안내한다.
구글 계정 보호상태를 알려주는 표시[사진=구글]
스마트폰 설정에서는 보안 및 개인정보보호 페이지를 추가로 제공하고, 사용자의 보안 수준을 한눈에 파악할 수 있게 한다. 이밖에도 안드로이드 13에서 기본 메시지 앱은 종단간 암호화를 적용해 메시지를 주고받는 당사자 외에는 내용을 알 수 없도록 할 계획이다.
온라인 결제에서는 가상 카드번호도 지원한다. 구글은 카드번호를 계정에 저장해두고, 온라인 결제 시 이를 즉시 불러와 입력할 수 있는 기능을 지원하고 있다. 여기에 가상 카드번호를 통해 판매자에게는 실제 카드정보가 전달되지 않도록 할 계획이다. 배달 앱에서 0505로 시작하는 가상 전화번호를 이용하는 것과 같은 개념이다.
카드번호뿐만 아니라 CVC 번호까지 임시로 생성하지만, 카드사와 판매자 사이에 결제 정보는 올바르게 전달된다. 사용자는 민감한 정보를 판매자에게 제공할 필요 없이, 안전하고 빠른 쇼핑이 가능하다. 해당 기능은 올해 여름부터 미국에서 적용되며, 지원하는 카드는 비자, 아메리칸익스프레스, 캐피탈원 등이다. 마스터카드는 하반기부터 적용할 계획이며, 향후 세계적으로 서비스를 확대할 예정이다.
개인정보보호 앞장서는 구글, 개인정보 사용자 결정권 강화한다
구글은 향후 사용자의 데이터를 처리하는 데 있어 개인정보보호를 최우선에 두겠다고 밝혔다. 데이터 처리 시에는 서버까지 사용자의 실제 정보가 전달되지 않도록 데이터 발자국을 최소화할 계획이며, 데이터에 대한 비식별조치와 통계적 노이즈를 추가해 누군가를 특정하는 것도 불가능하도록 한다. 특히 사용자에게 개인정보에 대한 자기 결정권을 돌려주겠다는 입장이다.
구글은 우선 전화번호, 주소, 이메일 등 사용자의 개인정보가 구글 검색에 노출될 경우, 삭제 요청을 더 쉽게 할 계획이다. 구글 앱은 물론, 검색 결과 창에서 이러한 작업을 클릭 몇 번으로 할 수 있도록 지원한다.
또한 구글 맞춤형 광고에는 '마이 애드 센터' 기능을 추가한다. 그간 웹 브라우저나 앱에서 노출되는 광고에서 사용자는 '이 광고 그만보기'를 선택해 해당 광고 노출을 줄일 수 있었다. 마이 애드 센터는 여기서 한 발 더 나아가 다양한 형태로 광고 노출을 설정할 수 있다. 예를 들어 노출되는 제품의 종류나 브랜드를 직접 선택해 선호하는 제품 관련 광고만 볼 수 있으며, 맞춤형 광고 기능을 완전히 끄는 것도 기능하다. AI에 의한 자동화된 의사결정 대신, 사용자 스스로 원하는 광고를 선택할 수 있기 때문에 자기 정보에 대한 통제권도 강화할 수 있을 전망이다.
구글은 우선 전화번호, 주소, 이메일 등 사용자의 개인정보가 구글 검색에 노출될 경우, 삭제 요청을 더 쉽게 할 계획이다. 구글 앱은 물론, 검색 결과 창에서 이러한 작업을 클릭 몇 번으로 할 수 있도록 지원한다.
또한 구글 맞춤형 광고에는 '마이 애드 센터' 기능을 추가한다. 그간 웹 브라우저나 앱에서 노출되는 광고에서 사용자는 '이 광고 그만보기'를 선택해 해당 광고 노출을 줄일 수 있었다. 마이 애드 센터는 여기서 한 발 더 나아가 다양한 형태로 광고 노출을 설정할 수 있다. 예를 들어 노출되는 제품의 종류나 브랜드를 직접 선택해 선호하는 제품 관련 광고만 볼 수 있으며, 맞춤형 광고 기능을 완전히 끄는 것도 기능하다. AI에 의한 자동화된 의사결정 대신, 사용자 스스로 원하는 광고를 선택할 수 있기 때문에 자기 정보에 대한 통제권도 강화할 수 있을 전망이다.
