구글이 곧 G메일을 포함한 G스위트(G Suite) 서비스 이용자들에게 디자인을 바꾼 로그인창을 선보인다. 보안에 민감한 기업내 사용자들이 정상적인 사이트를 피싱(phishing)용 가짜 웹사이트로 오인하지 않으려면 변화에 유의할 필요가 있다.
구글은 지난주 공식 G스위트업데이트 블로그를 통해 오는 14일부터 G스위트 앱 환경에 달라진 로그인 화면을 적용할 계획이라고 밝혔다. G스위트에 지난 2014년 선보인 사용자인터페이스(UI) 스타일 '머티리얼디자인'을 채택하는 과정의 일환이라고 설명했다. [☞원문보기]
어떻게 바뀔까.
구글의 공지에 따르면 주된 변화는 로그인 화면의 구글 로고, 영어 문구 중 첫줄 '로그인(Sign in)'과 그 아래 덧붙는 문자열이다. 그간 이 화면의 로고와 문자열은 왼쪽에 정렬돼 있었는데, 새 로그인 화면에선 중앙 정렬 상태가 된다. 그리고 덧붙는 문자열 'Google 계정 사용(with your Google Account)'의 영어 표기가 'Use your Google Account'로 살짝 바뀐다. 한국어 표기상으로는 변화가 없을 수도 있다.
구글 계정과 패스워드 정보를 써 넣는 입력란의 디자인도 달라진다. 변경 전 입력란은 밑줄 경계선과 그 위에 '이메일 또는 휴대전화(Email or phone)'이라는 문자가 밝은 회색으로 표시되고, 여기에 입력을 시작하면 문자가 작은 위첨자로 이동하면서 문자와 밑줄 경계선이 파란 색으로 바뀌었다. 변경 후 입력란의 기본 문자 표기는 확인되지 않았지만, 입력을 시작하면 경계선이 파란색 사각형으로 표시될 예정이다.
누구에게 적용될까.
G스위트는 구글이 기업용으로 제공하는 생산성 소프트웨어(SW) 브랜드다. G메일, 독스, 드라이브, 캘린더 등 웹애플리케이션 제품, 클라우드 파일 저장소 및 동기화 서비스를 포함한다. 기업 IT관리자나 개별 부서가 내부 협업 및 오피스SW 제품으로 구매할 수 있는 유료 솔루션이다. 개별 제품의 개인용 버전과 G스위트 기업용 버전은 지원되는 세부 보안 및 관리 기능면에 차이가 있다.
구글의 공지 내용은 일단 G스위트를 도입한 기업 환경의 IT관리자와 실제 G스위트의 모든 제품을 쓰는 최종 사용자를 겨냥하고 있다. 구글 측은 "14일부터 여러분은 G스위트 계정으로 로그인할 때 화면이 살짝 달라 보이는 걸 알아차리게 될 것"이라며 "필요하다면 여러분의 유저(기업내 실무자)들에게 이 변화를 공지하기 바란다"고 설명했다.
언제부터 반영될까.
구글의 클라우드 기반 제품과 서비스 변화는 별도 업그레이드 과정을 요구하지 않고 일반 사용자들에게 제공된다. 기업내 G스위트 관리자 설정에 따라, G스위트 사용자들은 이런 변화나 새로 출시된 기능을 막바로 수용할 수도 있고, 수용하는 시점을 늦출 수도 있다. 시기의 차이는 있겠지만 이번 G스위트 로그인 디자인 변화는 G스위트뿐아니라 개별 제품을 쓰는 개인 사용자에게도 적용될 것으로 보인다.
11일 구글클라우드 기반 전자결재서비스 '닥스웨이브' 개발업체인 소프트웨어인라이프의 장선진 대표는 "G스위트와 개인용 구글 서비스의 로그인 화면 자체는 거의 같지만, G스위트는 개인용 제품에 없는 유예기간이 적용된다는 점에 차이가 있다"며 "기업내 관리자들이 G스위트의 변화를 알림을 받자마자 '프리뷰' 기간내 바로 적용할 수도 있고, 대략 6개월 정도까지 미뤘다가 적용할 수도 있다"고 설명했다.
개별 사용자들이 일일이 인터넷 웹사이트의 변화에 유의하고 대비하기는 어려워지는 추세다.
IT관리자들이 G스위트 로그인 화면의 미세한 변화를 내부 사용자들에게 알려 주지 않을 경우 그들이 새로운 로그인창을 보고 피싱 웹사이트로 의심하는 혼란을 빚을 수 있다는 우려가 있다. 지난주 미국 지디넷은 "(정상 사이트의) 이런 소소한 변화는 일부 사용자들이 피싱 페이지를 보고 있다고 여길 우려를 야기할 수 있다"며 "새로운 모습을 인식시키는 건 좋은 아이디어"라고 평했다. [☞원문보기]
관련기사
- G스위트 이용자, 새로운 지메일 다음달 중 사용 가능2018.06.11
- 클라우드 전자결재 닥스웨이브, 업무처리 100만건 돌파2018.06.11
- 구글, G스위트용 데이터 보안툴 소개2018.06.11
- 구글, G메일에 기업용 앱 연동 공식 지원2018.06.11
이전보다 사회공학적 해킹 기법이 정교해져 개인이 피싱 웹사이트를 직접 판별하긴 쉽지 않다. 보안컨설팅 회사 플라이하이의 김기영 대표는 "한때 사용자들에게 '조잡한' 사이트를 조심하라는 식의 피싱 회피 지침이 있었지만, 더이상 유효하지 않다"며 "실제로 발생한 '스미싱(SMS+Phishing 합성어)' 사례 중엔 원본 사이트에 없는 동영상까지 만들어 넣는 등 '더 멀쩡해' 보이는 경우도 있었다"고 지적했다.
피싱은 해커가 인터넷사용자로부터 사용자명, 패스워드, 금융정보 등 민감한 데이터를 얻고자할 때 행하는 사회공학적 해킹 기법의 일종이다. 불특정 인터넷사용자에게 이메일, SMS, 인터넷메신저 등에 첨부한 링크를 보내고 정상 사이트처럼 위장한 가짜 사이트로 접속하도록 유도한다. 가짜 사이트는 유명 포털, 쇼핑, 온라인뱅킹, 소셜네트워크서비스 등으로 위장한 경우가 많다.
