피해를 예방하기 위해선 사용자의 주의 및 철저한 대비 필요

[보안뉴스 호애진] 개인 정보를 불법으로 도용하기 위한 속임수의 한 유형인 피싱의 수법이 갈수록 지능화되고 있다. 사용자들이 기존의 피싱공격 방법에 익숙해지면 익숙해질수록 악의적인 해커들은 새로운 피싱방법을 고안해 내고 있다.

최근 모질라의 파이어폭스 크리에이티브 담당자인 아자 라스킨(Aza Raskin)이 발견한 신종 피싱 사기(탭내핑, Tabnapping)는 기존의 수법과는 또 다른 유형으로 더욱 교묘해졌다. 이미 열려있는, 그러나 비활성화된 브라우저의 탭을 바꿔 사용자의 개인 정보를 탈취하는 수법이다.

사용자가 여러 탭을 열어 놓고 있는 상태서 특정 악성 자바스크립트 코드가 숨겨진 사이트를 접속하게 되면 비활성화된 탭 중의 하나가 로그인이 필요한, 예를 들어 지메일이나 은행 사이트와 같이 시간이 흐르면 재로그인을 해야 하는, 페이지로 조용히 바뀌게 된다. 이 때 파비콘과 타이틀 역시 바뀌기 때문에 사용자는 가짜 페이지라고 눈치채지 못한다.

공격자는 주소창에 표시되는 웹주소(URL)를 바꿀 필요도 없다. 이는 사용하고 있는 탭에 대한 사용자의 믿음과 무관심을 이용한 것이다. 대다수의 사람들이 한번에 여러 개의 탭을 열어두며 사용하는 경우가 많기 때문이다.

가짜 지메일 탭을 누른 사용자가 이를 일반 로그인 페이지로 보고 로그아웃 됐다고 생각하며 다시 계정 정보를 입력해 로그인할 때 공격자는 사용자의 개인 정보를  얻게 되는 것이다.

이와 같이 피싱 사기의 위험 수위가 점차 높아지고 있는 가운데 이를 예방하기 위해선 사용자의 주의 및 철저한 대비가 필요하다는 지적이 제기되고 있다.

[호애진 기자(is@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>