해외에서 한 연구자가 자신의 블로그에 ‘클릭재킹’ 공격이 어떻게 이루어지는지를 시연해 관심을 끌고 있다.

“GUA.Net(http://blog.guya.net/)”이라는 블로그 운영자인 이 연구자는 사용자가 웹 페이지에 숨겨진 맬웨어를 클릭할 때 사용자의 웹캠과 마이크를 컨트롤하는 내용의 기술 증명을 공개했다.

GUA.Net의 PoC(proof-of-concept : 기술 검증, 개념 검증)은 어도비의 플래시 플FP이어 설정 매니저를 대상으로 공격자가 어떻게 사용자의 카메라와 마이크를 통제할 수 있는지 자바 스크립트 게임 형식으로 간략하게 재구성했다.

이 연구자는 특히 이 기술이 ustream 등과 같은 플랫폼을 이용할 수 있으며 악의적인 감시 플랫폼을 생성하기 위해 사적인 서버에 스트림하는데 이용할 수 있다고 언급했다. 그는 또한 이 익스플로이트는 본질적으로 브라우저를 ‘감시 좀비’로 만들어버린다고 덧붙였다.

한편, 클릭재킹 공격이 대부분의 브라우저와 웹과 전적으로 상관있음에도 불구, 이 공격에 대한 자사 소프트웨어의 패치를 위해 시간을 벌고자하는 어도비(Adobe)의 요청에 따라 이 공격의 발견자들인 제레미아 그로스맨(Jeremiah Grossman)과 로버트 핸슨(Robert Hansen)은 공격의 상세한 내용을 극비로 다뤄왔다.

이러한 물밑작업을 통해 어도비는 10월 7일(현지 시각) 클릭재킹으로부터 자사의 애플리케이션을 보호하기 위한 패치를 배포할 예정이며, 현재까지 클릭재킹 시연을 공개한 이 블로그에 대해서는 별도의 언급을 하지 않고 있는 것으로 알려졌다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>