2024-03-28 20:40 (목)
상당수 한국 웹사이트들, 클릭재킹 공격에 취약해
상태바
상당수 한국 웹사이트들, 클릭재킹 공격에 취약해
  • 길민권
  • 승인 2014.04.06 17:05
이 기사를 공유합니다

간단한 방법으로 사이트 클릭 유도...다양한 사이버공격 가능해
한국의 대부분 웹사이트들이 ‘clickjacking’(클릭재킹) 공격에 취약한 것으로 드러났다. 클릭재킹 공격은 페이스북의 likejacking과 트위터의 twit bomb으로 외국에서는 이미 한때 유행했던 공격이지만 여전히 그 위험성이 간과되고 있어 주의해야 할 해킹공격 방법이다.
 
해당 취약성을 데일리시큐에 제보한 김대현(성균관대) 씨는 “클릭재킹 공격은 CSRF와 같이 혼용되어 사용될 수 있으며, 단독적으로도 사용 가능한 공격이다. 학술적으로는 Confused deputy라고 한다”며 “공격 원리는 아주 간단하다. HTML iframe을 사용하는 원리다. 공격 원리는 iframe에 타깃 페이지를 src로 지정해 frame을 걸고, 이를 투명하게 한 뒤에, 그 위에 공격자가 사용자의 클릭을 유도하도록 디자인을 한다. 모든 공격자의 디자인이 끝난 경우, 사용자에게 메일 또는 게시판 등에 url을 올려 공격자의 웹사이트에 접근하도록 한 후에 클릭을 유도해 공격자의 목적을 달성하는 공격이 클릭재킹 공격”이라고 설명했다.

제보자가 제작한 동영상을 보면 더 쉽게 이해할 수 있다.


이러한 취약점을 방치할 경우, 악성코드 다운으로 인한 감염, CSRF와 결합되어 포털 서비스 이용자의 데이터 삭제 등 다양한 보안 피해가 발생할 수 있어 주의해야 한다.
 
취약점 패치 방안에 대해 제보자는 “<Kim, Daehyun, and Hyoungshick Kim. "We are still vulnerable to clickjacking attacks: about 99% of Korean websites are dangerous.”>라는 문서를 보면 여기에 Proper code가 제시되어 있다. Server side protection과 client side protection으로 구분해 대응할 수 있다“며 ”전자의 경우에는 proper code, X-Frame-Option header등 많은 방법들이 존재하며, 후자의 경우에는 웹 브라우저에서 제공하는 플러그인을 사용하는 방법이 있다. 예를 들면, Firefox에서 제공하는 Noscript라는 플러그인 등이다“라고 설명했다.
 
그는 “클릭재킹에 대해 한국은 그 위험성을 크게 인식하지 못하고 있다. 많은 사람들이 이런 공격이 있다는 것을 인지하고, 공격에 대비하길 바란다”며 “또한 한국 웹사이트들도 버그 바운티 프로그램을 활성화 해 보다 안전한 사이트를 구축했으면 좋겠다”고 의견을 피력했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★