최근 Google은 약 2.5억(25%)의 전 세계 사용자들을 겨냥한 새로운 보안 경고를 발표했습니다. 이 경고는 ‘ShinyHunters’라는 해킹·공갈 조직이 Google의 Salesforce 데이터베이스를 탈취한 뒤 발생한 일련의 공격과 관련이 있습니다. 이로 인해 Gmail 계정뿐 아니라 Google Cloud 사용자의 데이터도 위험에 노출된 상태입니다.

해커들은 전화와 이메일을 결합한 이른바 ‘하이브리드 공격’을 통해 계정 탈취를 시도합니다. 먼저 피해자에게 Google 지원팀을 사칭한 전화가 걸려 오며, “알 수 없는 누군가가 귀하의 계정에 침입하려 했다”는 경고를 합니다. 이어서 비밀번호 재설정이 필요하다는 안내를 하면서, 계정 보호를 위해 즉시 조치해야 한다고 설득합니다.

전화가 끝나면 동일한 Gmail 주소로 비밀번호 재설정 이메일이 도착합니다. 이 이메일에는 본인 확인을 위한 보안 코드가 포함되어 있으며, 해커는 피해자에게 전화를 연결한 상태에서 해당 코드를 읽어 달라고 요구합니다. 피해자가 코드를 알려주면 해커는 실시간으로 계정 비밀번호를 변경하고, 계정에 완전히 접근 권한을 획득합니다.

Google은 “지난해 이메일을 통한 비밀번호 탈취 시도가 84% 증가했으며 2025년 들어 더욱 심각해졌다”고 밝히고 있습니다. 또한 “Google은 사용자의 동의 없이 전화로 비밀번호 재설정이나 계정 문제 해결 요청을 하지 않는다”고 경고했습니다. 의심스러운 연락을 받을 경우 즉시 전화를 끊고 Google 공식 도움말을 확인해야 합니다.

첫 번째 방어 수단으로 Google의 ‘보안 점검(Security Checkup)’을 권장합니다. 이 도구는 현재 활성화된 보안 설정을 자동으로 검토하고, 취약점이 있는 부분을 알려줍니다. 안내에 따라 설정을 수정하면 계정을 보다 안전하게 보호할 수 있습니다.

두 번째로 ‘고급 보호 프로그램(Advanced Protection Program)’을 적용하면 더 강화된 보안 절차가 추가됩니다. 여기에는 의심스러운 다운로드 차단, 비(非)Google 애플리케이션의 데이터 접근 제한, 복구 과정의 추가 인증 단계 등이 포함되어 있습니다.

마지막으로 ‘Google 패스키(passkey)’를 사용하는 것을 권장합니다. Google은 연구를 통해 패스키가 자동화된 봇 공격, 대량 피싱, 타깃형 공격에 대해 SMS·앱 기반 일회용 코드보다 강력한 방어를 제공한다는 사실을 확인했습니다. 패스키를 설정하면 대부분의 계정 탈취 시도가 효과적으로 차단됩니다.