미(美) 국토안보부 산하 컴퓨터긴급대응팀(이하 US-CERT)은 최근 새로운 크로스 브라우저 익스플로이트 기술인 “클릭재킹(Clickjacking)”의 위협을 경고하고 나섰다.

클릭재킹(Clickjacking)이란 공격자가 사용자로 하여금 거의 알아차리지 못하게 하고 어떤 것을 클릭하도록 속이는 것이다.

예를 들어 사용자는 어떤 웹 페이지를 클릭하지만 실제로는 다른 어떤 페이지의 컨텐츠를 클릭하게 되는 것이다.

즉, 애플리케이션 보안 전문가들에 따르면 이 알려진 브라우저 공격 기술이 이전에 예상했던 것보다 훨씬 광대하게 연결되어, 공격자들은 이 기술을 이용해 그들이 선택한 모든 컨텐츠를 사용자들이 어쩔 수 없이 클릭하도록 할 수 있다는 것이다.

항공기 불법탈취 또는 납치를 의미하는 하이재킹(hijacking)와 비유된 URL 하이재킹, 세션 하이재킹 등이 지금까지 이슈가 된 적은 있으나 “클릭재킹”은 별달리 알려진 바가 없었다.

그러나 화이트햇 시큐리티(WhiteHat Security Inc)의 CTO 제레미아 그로스맨(Jeremiah Grossman)은 외신과의 인터뷰를 통해 “이 이슈는 오래 전부터 알려져 있었지만 그 잠재적인 영향에 비해 평가절하 되어왔던 것이 사실”이라고 지적했다.

한편, 최근 알려진 바에 따르면 이 취약점은 대부분의 웹 브라우저에 영향을 끼치며 브라우저 스크립팅을 비활성화하거나 플러그 인이 위험을 완화시켜줄 수 있을 뿐, 어떠한 픽스도 효과가 없는 것으로 알려졌다.

또한 파이어폭스 이용자들에게는 추가적인 대응 방안으로 “노스크립트 플러그인”을 사용하는 것이 권장되고 있으며 디폴트로 아이프레임 비활성화를 설정하는 것도 도움이 된다고 US-CERT는 덧붙였다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>