브라우저 인더 브라우저 공격...싱글사인온 로그인을 똑같이 따라해

요약 : 보안 외신 해커뉴스에 의하면 ‘브라우저 인더 브라우저(Browser in the Browser)’라는 공격 기법이 나타났다고 한다. 브라우저 창 안에서 또 다른 브라우저 창이 열린 것처럼 꾸밈으로써 사용자들을 속이는 것이다. 이는 ‘싱글사인온(SSO)’ 옵션이 임베드 된 웹사이트에서 실행 가능한 공격이라고 한다. 예를 들어 ‘구글 계정으로 로그인’ 옵션을 사용자가 누르면 팝업창이 뜨면서 로그인 과정을 사용자가 마무리 할 수 있게 되는데, 공격자가 HTML과 CSS 코드를 활용함으로써 이 모든 절차를 그대로 흉내 내는 것이 BitB 공격이라고 한다.


배경 : BitB 공격은 일반적인 SSO 로그인 과정과 똑같아 보이기 때문에 사용자는 아무런 의심 없이 크리덴셜 정보를 입력할 수밖에 없게 된다. 일반적인 SSO 로그인 과정과, BitB 공격의 과정은 서로 구분이 가지 않을 정도로 흡사하다고 전문가들은 말한다.

말말말 : “이 기법을 사용할 경우 악성 URL을 정상 URL 뒤에 감추기도 쉽습니다. 새로 뜨는 윈도 창의 URL을 최대한 확인하는 것이 필요합니다.” -mrd0x-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>