일부 구글 계정, 의문의 강제 로그아웃

"정기 유지 보수 작업중 OAuth 토큰 무효화 결과"

컴퓨팅입력 :2017/03/02 13:06

최근 일부 구글 계정이 알 수 없는 원인으로 강제 로그아웃되는 현상이 광범위하게 발생했다. 구글 측이 사용자의 보안접속 데이터를 다루다 실수를 저질렀을 가능성이 제기됐다.

앞서 IT미디어 더넥스트웹은 지난 22일부터 구글 서비스를 위한 로그인이 제대로 이뤄지지 않고 있다는 사용자들의 불편이 다수 보고됐다고 보도했다.

해당 현상은 구글와이파이와 온허브 라우터같은 네트워크서비스, G메일같은 웹서비스에 접속할 때 쓰는 구글 계정의 자동 로그인이 해제돼 있는 것이었다. 서비스를 정상 이용하려면 사용자가 해당 계정 정보를 다시 입력해야 했다. 이는 사용자들의 구글 계정이 탈취되거나 그 정보가 외부로 유출된 것 아니냐는 불안을 낳았다.

[사진=Pixabay] sign out logout 접속해제 로그아웃

구글 측은 "계정 접속이 예기치 않게 해제되는 현상을 일부 사용자들이 제보했다"며 "(원인을) 조사중이지만 여기에 피싱(phising)이나 계정 보안 위협이 관련돼 있다는 정황은 없으니 걱정하지 말라"고 밝혔다. 사용자들에게 로그인을 다시 해야 한다고 안내하면서, 만일 2단계 인증을 사용 중이라면 SMS 인증 문자를 받는 시간이 다소 걸릴 수 있다고 덧붙였다.

[☞원문: Gmail is unexpectedly signing people out of their accounts, Google swears it’s all G]

최초 이상이 발생했다는 소식이 들려온지 1주일이 지나는동안 한국에서도 비슷한 제보가 들려 왔다. 일부 사용자들이 자동 로그인으로 쓰던 구글 서비스에 다시 로그인하며 인증을 받아야 하는 불편을 겪었다.

구글 측은 한국어 도움말 페이지에서도 관련 안내를 내보내고 있다. "정기 유지 보수 중에 일부 사용자가 Google 계정에서 로그아웃되는 문제가 있었습니다. 이 문제로 인해 로그아웃된 경우, https://accounts.google.com 에서 평소에 사용하는 사용자 이름과 비밀번호를 사용하여 로그인하세요. 비밀번호가 기억나지 않거나 다른 이유로 로그인할 수 없다면 여기에서 계정 비밀번호를 복원하세요."

자동로그인 방식으로 서비스를 이용하던 구글 사용자들이 불시에 로그아웃되는 현상을 겪자 구글이 상황파악에 나선 뒤 이런 공지를 게재했다.

1일(현지시간) 영국 IT미디어 더레지스터는 원인불명의 구글 계정 로그아웃 사태가 대규모로 벌어졌다는 소식을 다루면서, 보안접속 기술인 'OAuth'의 토큰(token)을 구글 측이 미숙하게 다룬 게 원인일 수 있다고 보도했다.

보도에 따르면 이미 구글의 안내에서 언급된 것처럼 대규모 로그아웃 현상은 정기 유지 보수 작업을 진행한 결과의 일부였다. 그리고 회사측은 서비스에서 보안사고와 관련된 문제가 발생한 것은 아니라는 입장을 밝히고 있다.

[☞원문: Google mass logout riddle deepens: OAuth token fumble blamed]

그리고 구글은 대규모 자동로그인 해제 사태 관련 메시지를 '클라우드 상태 대시보드'에 등재하기도 했는데, 이후 슬그머니 삭제했다. 삭제된 메시지엔 "오랫동안 살아 있던 OAuth 토큰이 뜻하지 않게 효력을 잃었다"는 언급이 담겼다. 토큰 무효화는 구글계정 관련 서비스를 쓰는 누구든지 다시 로그인하도록 요구하는 것이라는 점에서 납득할만한 설명이다. 그런데 구글이 이 메시지를 대시보드에서 왜 지웠는지는 설명되지 않고 있다.

종합하면, 로그아웃 현상은 해당 사용자 계정에 허가되지 않은 세부정보 수집 시도(unauthorized attempt to capture account details)가 있었을 가능성을 시사한다는 게 더레지스터의 지적이다.

관련기사

보도에 따르면 구글 측은 회사의 대외 커뮤니케이션 방침이 제품에 연관된 개발자나 기업 고객을 상대하기보다 일반 사용자를 상대하는 쪽에 무게를 두고 있다고 해명했다. 정기 유지 보수 작업에서 뜻하지 않게 발생한 OAuth 토큰 무효화를 개발자들에게 설명하는 것보다 그 결과로 발생한 대규모 로그아웃 현상을 일반 사용자들에게 설명하는 게 문제를 해결하는 데 더 효과적이라 판단했고, 따라서 해당 문제를 해결하는 데 집중하면서 토큰 무효화 관련 메시지를 삭제했다는 설명이다.

다만 구글은 OAuth 토큰 무효화가 발생한 원인 자체를 밝히진 않았다.