'클릭재킹'에 해당되는 글 1건

  1. 2010.12.27 눈뜨고 당하는 클릭재킹(Clickjacking) (40)


안녕하세요 리틴블로그입니다. ^^
오늘은 클릭재킹에 대해서 이야기 해볼까 합니다. URL 하이재킹 혹은 세션 하이재킹이 이슈화 되어 널리 알려진 반면 클릭재킹의 경우 이슈화 된 경우가 없습니다. 그만큼 그 잠재적 위험이 절하되어 평가되고 있지만 그 위험성은 무시할 수 없습니다. 클릭재킹은 대부분의 웹브라우저에 영향을 미치며 사용자에게 노출되는 정보가 아닌 전혀 엉뚱한 링크나 버튼을 클릭하여 로딩되는 문제점이 있습니다. 오늘은 클릭재킹에 대해 간단히 소개하고 그 위험성을 어필하고자 합니다. ^^

눈 뜨고 코 베이는 클릭재킹

클릭재킹은 Iframe 태그를 이용한 눈속임입니다. 클릭재킹(Clickjacking)이란 공격자가 사용자로 하여금 알아차리지 못하게 하고 어떤 것을 클릭하도록 속이는 것으로 어떤 웹 페이지 혹은 버튼을 클릭하지만 실제로는 다른 페이지의 컨텐츠를 클릭하게 되는 것입니다.

클릭재킹 취약성이 수면위에 오른지 한참이 되었지만 아직까지 이렇다할 대응책이 없으며 그 어떤 백신 프로그램과 보안 툴을 이용해도 클릭재킹 공격을 막을 수 없다는 사실이 가장 무서운 점입니다. 스크립트 기능 및 플로그인 기능의 무효화 혹은 Iframe 비활성화 외에는 대처방법이 없습니다.

모의 클릭재킹 페이지 들어가기

위 링크는 제가 임의로 클릭재킹을 설명하기 위해 제작한 웹페이지입니다.



접속시 위와 같이 무료 다운로드 쿠폰이라는 문구 하나만 달랑 보입니다. 하지만 위 페이지는 포탈사이트 다음의 모습을 나타내고 있습니다. ^^; 현재 페이지의 모든 모습을 볼 수 있다고 적혀있는 클릭 버튼을 클릭하면 클릭재킹 모의 페이지의 실제 모습이 드러납니다.


만약 100기가 무료 쿠폰이라 적혀있는 문구를 클릭했다면 다음 페인페이지의 광고를 클릭하게 되는 것입니다. 이러한 클릭재킹을 이용하여 실제로 다양한 공격이 이루어지고 있습니다.

자바스크립트 게임 페이지에서 게임을 위해 몇번의 클릭을 하다 보면, 자신도 모르는 사이 자신의 컴퓨터에 연결되어 있는 웹캠이 실행되어 동영상이 촬영되고, 마이크로폰으로 녹음이 되는 경우가 2008년도에 존재했으며 최근에는 페이스북을 활용하여 클릭을 유도 악성코드를 유포하여 개인정보를 빼내는 방법이 사용 되었습니다.

이러한 클릭재킹을 대비하기 위해서는 스크립트 및 Iframe의 사용을 비활성화 해야 하지만, 이는 정상적인 인터넷 서비스를 하지 말라는 말과 다를바 없기에 근본적인 해결방법이 되지 않습니다. 결국 사용자가 주의하는 방법 밖에 없습니다.

이러한 클릭재킹은 오래전부터 알려졌으나 그 실직적인 대처방법이 없고, 사회적으로 크게 이슈화 된적이 없기에 그 잠재적 위험이 절하되어 있고 그렇기에 대중들에게 알려지지 않은 기법입니다. 하지만 이미 클릭재킹 사이트를 손쉽게 제작할 수 있는 클릭재킹 자동화 툴이 공유되고 있고, 그 위험성이 높기에 이에 대한 경각심을 위해 포스팅해봅니다.

<클릭재킹 자동화 툴>
신고

주소보기

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. 티비의 세상구경 2010.12.27 11:15 신고  댓글주소  수정/삭제  댓글쓰기

    사용자가 정말 조심해야
    될것 같다는 생각이드네요 ^^;

  3. 제너시스템즈 2010.12.27 11:30 신고  댓글주소  수정/삭제  댓글쓰기

    아..이거 정말 무섭네요;ㅅ; 전 이런거 잘 혹해서 넘어가는데. 귀를 두껍게하고 눈을 두껍게해서 클릭재킹을 방지해야겠어요!

  4. 아하라한 2010.12.27 12:53 신고  댓글주소  수정/삭제  댓글쓰기

    정말 무서운 세상인데요.
    유저가 조심하지 않으면 정말 대책에 없네요..ㅠㅠ

  5. 2010.12.27 13:31  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  6. 검정땅콩 2010.12.27 13:44 신고  댓글주소  수정/삭제  댓글쓰기

    앗!!!무서운 세상
    저같은 인터넷만 겨우하는 컴맹은 당하고 남을것 같아요
    조심해야겠어요

  7. HS다비드 2010.12.27 14:36 신고  댓글주소  수정/삭제  댓글쓰기

    헐 대박이네요...;;

    이런 걸 이용해서 광고 수익을 올리는 사람들도 꽤 잇겠군요..;;

  8. No.190 2010.12.27 14:52 신고  댓글주소  수정/삭제  댓글쓰기

    참고로 filters.alpha 는 익스플로만 먹는 함수입니다.ㅋ(왜 않되나 소스 보다가..ㅋ 크롬,파폭에선 않될듯)
    absolute;top 으로 해서 뒤에 숨긴거였군요. 잼있는 발상이네요!
    흠....이 방법을 없앨려면....모든 웹페이지를 HTML5 표준으로 해서 iframe를 않쓰는 수밖에는;;-0-;;
    어쨋든 요거 잼있네요..ㅋㅋ

    -근데 팝업 광고는 왜 넣으신거지??;;??

    • No.190 2010.12.28 08:23 신고  댓글주소  수정/삭제

      아...파폭도 먹는군요;;=-= 파폭이 익스 은근히 지원많이 해주네요;;
      구글빠라 크롬만 쓰느라..;;
      리눅스에서도 크롬쓰는 1人 ㅋㅋ

  9. 문단 2010.12.27 15:14 신고  댓글주소  수정/삭제  댓글쓰기

    근본적인 대책이 없어서 더욱 위험해보입니다. 정말 악용되려면 끝도 없을 것 같네요.
    내 컴퓨터에도 있는 건 아닌지...후.. 점점 해킹과 보안이 머리싸움의 단수가 높아져가네요.

  10. 엑셀통 2010.12.27 15:18 신고  댓글주소  수정/삭제  댓글쓰기

    허거덩..클릭재킹이란 용어는 잘 몰랐지만..임의로 클릭되도록 한다는 말은 얼핏 들은것 같아요.
    시연 페이지를 보니 무섭다..아니..경외롭다..욕심많은 제 입장에선..이런 기술이 있다는 구현했다는 사실만으로도 신기하네요.

  11. Boan 2010.12.27 16:07 신고  댓글주소  수정/삭제  댓글쓰기

    XSS와는 또다른 공격이군요.
    정말 말그대로 눈뜨고 당할 것 같아요.

  12. 자 운 영 2010.12.27 16:34 신고  댓글주소  수정/삭제  댓글쓰기

    언제나 늘 ~조심 ㅎㅎ전 문자도 모르면 안받아요 ㅎㅎ^

  13. M군 2010.12.27 18:04 신고  댓글주소  수정/삭제  댓글쓰기

    일반인들이 간과할수 있수도 있겠군요... 리틴님 덕분에 일단 인식이라도 해서 다행입니다..

  14. 마부작 2010.12.27 21:41 신고  댓글주소  수정/삭제  댓글쓰기

    이런건 역시 잘모르겠지만 위험한건 확실한거죠?ㅎㅎ

  15. 저수지 2010.12.28 00:55 신고  댓글주소  수정/삭제  댓글쓰기

    익숙하게 생긴 버튼이라고 그냥 클릭해도 안되겠네요.
    한번쯤은 의심하고 보는 지혜가 필요하겠네요.
    클릭재킹, 무서운 속임수네요.

  16. Mashable 2010.12.28 11:41 신고  댓글주소  수정/삭제  댓글쓰기

    오호...저는 왠만한 프로그램 창이떠서 설치, 또는 실행창이 뜨면 다취소한다는^^;; 이것도 일말의 도움이 되겟죠

  17. 아빠소 2010.12.29 14:44 신고  댓글주소  수정/삭제  댓글쓰기

    그러네요..모르고 당하기도 하지만 알면서도 속수무책! 어찌 대비해야 한단 말입니까~

  18. 일말의가능성 2010.12.29 18:02 신고  댓글주소  수정/삭제  댓글쓰기

    하아.... 정말 무서워서 인터넷도 못하는건가요 이제

  19. 하늘마법사 2010.12.29 21:54 신고  댓글주소  수정/삭제  댓글쓰기

    알고 있어도 당할것 같네요 앞으로 정말 조심해야겠네요...

  20. 닉쑤 2011.01.02 06:11 신고  댓글주소  수정/삭제  댓글쓰기

    이거 정말 무섭네요. ㅡㅡ;;

  21. 솔브 2011.01.03 12:34 신고  댓글주소  수정/삭제  댓글쓰기

    정말 대책이 없군요..
    결국 사용자가 주의를 해야겠네요~
    제 동생 컴같은경우에 이유없이 이상한 창 뜨고 그러드라구요
    ㅠㅠ
    잘 읽었습니다.



티스토리 툴바