728x90
해당 취약성을 데일리시큐에 제보한 김대현(성균관대) 씨는 “클릭재킹 공격은 CSRF와 같이 혼용되어 사용될 수 있으며, 단독적으로도 사용 가능한 공격이다. 학술적으로는 Confused deputy라고 한다”며 “공격 원리는 아주 간단하다. HTML iframe을 사용하는 원리다. 공격 원리는 iframe에 타깃 페이지를 src로 지정해 frame을 걸고, 이를 투명하게 한 뒤에, 그 위에 공격자가 사용자의 클릭을 유도하도록 디자인을 한다. 모든 공격자의 디자인이 끝난 경우, 사용자에게 메일 또는 게시판 등에 url을 올려 공격자의 웹사이트에 접근하도록 한 후에 클릭을 유도해 공격자의 목적을 달성하는 공격이 클릭재킹 공격”이라고 설명했다.
제보자가 제작한 동영상을 보면 더 쉽게 이해할 수 있다.
이러한 취약점을 방치할 경우, 악성코드 다운으로 인한 감염, CSRF와 결합되어 포털 서비스 이용자의 데이터 삭제 등 다양한 보안 피해가 발생할 수 있어 주의해야 한다.
취약점 패치 방안에 대해 제보자는 “<Kim, Daehyun, and Hyoungshick Kim. "We are still vulnerable to clickjacking attacks: about 99% of Korean websites are dangerous.”>라는 문서를 보면 여기에 Proper code가 제시되어 있다. Server side protection과 client side protection으로 구분해 대응할 수 있다“며 ”전자의 경우에는 proper code, X-Frame-Option header등 많은 방법들이 존재하며, 후자의 경우에는 웹 브라우저에서 제공하는 플러그인을 사용하는 방법이 있다. 예를 들면, Firefox에서 제공하는 Noscript라는 플러그인 등이다“라고 설명했다.
그는 “클릭재킹에 대해 한국은 그 위험성을 크게 인식하지 못하고 있다. 많은 사람들이 이런 공격이 있다는 것을 인지하고, 공격에 대비하길 바란다”며 “또한 한국 웹사이트들도 버그 바운티 프로그램을 활성화 해 보다 안전한 사이트를 구축했으면 좋겠다”고 의견을 피력했다.
728x90
'Security_News > 국내보안소식' 카테고리의 다른 글
| 유명 IT수험서 카페와 e러닝 사이트, 보안 취약점 발견 (0) | 2014.04.06 |
|---|---|
| 국내 영어회화 사이트, 6만여 건 개인정보 유출 위험 (0) | 2014.04.06 |
| BBQ웹사이트 해커가 노린이유 (0) | 2014.04.06 |
| 국내 대형병원 의료정보도 술술 (0) | 2014.04.06 |
| 국내 최대 치킨 프랜차이즈 ‘BBQ’ 개인정보 유출 (0) | 2014.04.05 |