2021-05-16 20:55 (일)
IE 쿠키 취약점 발견…계정 절취가 목적
상태바
IE 쿠키 취약점 발견…계정 절취가 목적
  • 길민권
  • 승인 2011.06.04 12:46
이 기사를 공유합니다

최근 IE 브라우저 쿠키재킹(Cookiejacking) 보안 취약점이 발견되었다. 중국의 360 보안센터 기술인증 결과에 따르면, 해커는 취약점을 이용해 특정한 목표의 계정을 절취할 수 있으므로 자신의 계정보안에 주의해야 하며 낯선 사람이 전송해 온 수상한 사이트에 섣불리 접속하지 말아야 한다고 경고했다.
 
중국 보안 전문가 석소홍(石?虹)에 따르면, 쿠키재킹 취약점 공격은 두 가지 전제조건 하에 이루어진다고 했다. 첫째 IE브라우저를 통해 악성 사이트에 접속하고 둘째, 사이트에서 마우스 드래그 제어를 실행해야 한다. 예를 들면 농구공을 마우스로 드래그하여 바스켓에 넣는 게임을 설계하여 사용자가 상응한 제어를 실행하게끔 유인하는 것이다.
 
 
[쿠키재킹: 농구공을 바스켓에 드래그하면 계정 절취를 유발]
 
일단 공격을 성공하면 해커는 브라우저에 저장된 쿠키정보를 획득한다. 많은 사람들이 블로그, Gmail 등 계정을 ‘로그인 유지’로 설정하기 때문에 쿠키를 절취 당했다는 것은 자신의 계정이 해커에게 절취 당했다는 것을 의미한다.
 
해외 유명 취약점 발견자의 테스트에 근거하면, 그는 페이스북(Facebook)에 미녀들의 옷을 마우스로 드래그하여 벗기는 게임을 설정해 놓았더니 150명 중 80여 명이 계략에 걸려들었다. 그리하여 손쉽게 IE 쿠키파일을 획득할 수 있었다고 한다.
 
보안전문가들은 “IE의 새로운 취약점은 공격조건이 비교적 까다로워 대규모로는 이용되지 않을 것이지만 일부 특수한 계정보안에 위협을 조성한다. 예를 들면 유명인의 블로그나 SNS 사이트의 지인 등이다. 따라서 패치가 발표되기 전까지 IE사용자는 낯선 사이트에 접속한 경우 사이트 게임에 주의할 것”을 당부했다.(제공 제공 CN시큐리티 www.cnsec.co.kr) [데일리시큐=길민권 기자]