안녕하세요 리틴블로그입니다. ^^
오늘은 클릭재킹에 대해서 이야기 해볼까 합니다. URL 하이재킹 혹은 세션 하이재킹이 이슈화 되어 널리 알려진 반면 클릭재킹의 경우 이슈화 된 경우가 없습니다. 그만큼 그 잠재적 위험이 절하되어 평가되고 있지만 그 위험성은 무시할 수 없습니다. 클릭재킹은 대부분의 웹브라우저에 영향을 미치며 사용자에게 노출되는 정보가 아닌 전혀 엉뚱한 링크나 버튼을 클릭하여 로딩되는 문제점이 있습니다. 오늘은 클릭재킹에 대해 간단히 소개하고 그 위험성을 어필하고자 합니다. ^^
눈 뜨고 코 베이는 클릭재킹
클릭재킹은 Iframe 태그를 이용한 눈속임입니다. 클릭재킹(Clickjacking)이란 공격자가 사용자로 하여금 알아차리지 못하게 하고 어떤 것을 클릭하도록 속이는 것으로 어떤 웹 페이지 혹은 버튼을 클릭하지만 실제로는 다른 페이지의 컨텐츠를 클릭하게 되는 것입니다.
클릭재킹 취약성이 수면위에 오른지 한참이 되었지만 아직까지 이렇다할 대응책이 없으며 그 어떤 백신 프로그램과 보안 툴을 이용해도 클릭재킹 공격을 막을 수 없다는 사실이 가장 무서운 점입니다. 스크립트 기능 및 플로그인 기능의 무효화 혹은 Iframe 비활성화 외에는 대처방법이 없습니다.
모의 클릭재킹 페이지 들어가기
위 링크는 제가 임의로 클릭재킹을 설명하기 위해 제작한 웹페이지입니다.
접속시 위와 같이 무료 다운로드 쿠폰이라는 문구 하나만 달랑 보입니다. 하지만 위 페이지는 포탈사이트 다음의 모습을 나타내고 있습니다. ^^; 현재 페이지의 모든 모습을 볼 수 있다고 적혀있는 클릭 버튼을 클릭하면 클릭재킹 모의 페이지의 실제 모습이 드러납니다.
만약 100기가 무료 쿠폰이라 적혀있는 문구를 클릭했다면 다음 페인페이지의 광고를 클릭하게 되는 것입니다. 이러한 클릭재킹을 이용하여 실제로 다양한 공격이 이루어지고 있습니다.
자바스크립트 게임 페이지에서 게임을 위해 몇번의 클릭을 하다 보면, 자신도 모르는 사이 자신의 컴퓨터에 연결되어 있는 웹캠이 실행되어 동영상이 촬영되고, 마이크로폰으로 녹음이 되는 경우가 2008년도에 존재했으며 최근에는 페이스북을 활용하여 클릭을 유도 악성코드를 유포하여 개인정보를 빼내는 방법이 사용 되었습니다.
이러한 클릭재킹을 대비하기 위해서는 스크립트 및 Iframe의 사용을 비활성화 해야 하지만, 이는 정상적인 인터넷 서비스를 하지 말라는 말과 다를바 없기에 근본적인 해결방법이 되지 않습니다. 결국 사용자가 주의하는 방법 밖에 없습니다.
이러한 클릭재킹은 오래전부터 알려졌으나 그 실직적인 대처방법이 없고, 사회적으로 크게 이슈화 된적이 없기에 그 잠재적 위험이 절하되어 있고 그렇기에 대중들에게 알려지지 않은 기법입니다. 하지만 이미 클릭재킹 사이트를 손쉽게 제작할 수 있는 클릭재킹 자동화 툴이 공유되고 있고, 그 위험성이 높기에 이에 대한 경각심을 위해 포스팅해봅니다.
