"UI Redress Attack"이라고도 알려진 클릭재킹은 겉으로는 무해해 보이는 웹 콘텐츠 위에 보이지 않는 레이어를 겹쳐서 사용자가 숨겨진 링크를 클릭하도록 조작하는 사이버 보안 공격입니다.
클릭재킹의 기원과 첫 등장
"클릭재킹"이라는 용어는 2008년 Jeremiah Grossman과 Robert Hansen에 의해 처음 만들어졌습니다. 이는 시각적 웹 인터페이스에 대한 사용자의 고유한 신뢰를 이용하는 새로운 공격 벡터로 나타났습니다. 2008년 Adobe의 Flash 플러그인을 표적으로 삼은 첫 번째 클릭재킹 사건이 발생하여 이 새로운 사이버 보안 위협에 대한 전 세계의 관심이 집중되었습니다.
클릭재킹 마스킹 해제: 위협 분석
클릭재킹은 공격자가 사용자를 속여 웹페이지의 특정 요소를 다른 것으로 믿고 클릭하도록 하는 기만적인 기술입니다. 이는 웹페이지 요소 위에 투명 또는 불투명 레이어를 오버레이하여 달성됩니다. 예를 들어 사용자는 일반 버튼이나 링크를 클릭한다고 믿을 수 있지만 실제로는 숨겨진 악성 콘텐츠와 상호 작용하고 있습니다.
공격자는 이 방법을 사용하여 사용자가 일반적으로 동의하지 않는 작업(예: 맬웨어 다운로드, 무의식적인 개인 정보 공유, 금융 거래 시작 등)을 수행하도록 속일 수 있습니다.
클릭재킹 메커니즘 디코딩
클릭재킹 공격에는 세 가지 주요 구성 요소가 포함됩니다.
- 피해자: 악성 웹사이트와 상호작용하는 사용자입니다.
- 공격자: 악성 웹사이트를 생성하고 제어하는 주체입니다.
- 상호 작용: 악성 링크가 포함된 사기성 웹페이지입니다.
공격자는 다른 사이트(타겟)의 iframe을 포함하는 웹페이지를 디자인하고 이 iframe을 투명하게 만듭니다. 보이지 않는 iframe 위에는 인기 있는 작업에 대한 버튼이나 매력적인 링크와 같이 사용자가 상호 작용할 가능성이 있는 요소가 오버레이됩니다. 사용자가 공격자의 사이트를 방문하여 안전하다고 생각되는 콘텐츠를 클릭하면 자신도 모르게 숨겨진 iframe과 상호 작용하여 대상 사이트에서 작업을 수행하게 됩니다.
클릭재킹 공격의 주요 특징
- 투명화: 악성 링크는 진짜처럼 보이는 웹 콘텐츠 아래 숨겨져 있으며, 종종 사용자에게 보이지 않습니다.
- 기만: 클릭재킹은 사용자를 오도하여 다른 작업을 수행하면서 특정 작업을 수행하고 있다고 믿게 만듭니다.
- 합의되지 않은 행동: 이러한 공격은 사용자를 속여 자신도 모르게 또는 동의 없이 작업을 수행하도록 합니다.
- 다재: 클릭재킹은 악성코드 유포부터 개인정보 도용까지 다양한 유해 활동에 사용될 수 있습니다.
클릭재킹 공격 유형
클릭재킹 공격은 실행 및 의도된 피해에 따라 분류될 수 있습니다. 다음은 세 가지 주요 유형입니다.
| 유형 | 설명 |
|---|---|
| 커서재킹 | 커서의 모양과 위치를 수정하여 사용자가 예상치 못한 영역을 클릭하도록 속입니다. |
| 라이크재킹 | 일반적으로 사기를 퍼뜨리거나 가시성을 높이기 위해 사용자가 자신도 모르게 소셜 미디어 게시물을 좋아하도록 속입니다. |
| 파일재킹 | 무해한 다운로드 링크나 버튼을 가장하여 사용자가 악성 파일을 다운로드하거나 실행하도록 가두어 놓습니다. |
클릭재킹 활용 및 관련 문제 해결방안
클릭재킹 공격은 사소한 성가심부터 심각한 보안 위반까지 광범위한 문제를 일으킬 수 있습니다. 악성 코드를 확산시키고, 민감한 데이터를 도용하고, 사용자 작업을 조작하는 등의 작업을 수행할 수 있습니다.
다행히도 여러 솔루션을 통해 클릭재킹을 방지할 수 있습니다.
- X-Frame-Options 헤더 사용: 사이트를 프레임화할 수 있는지 여부를 브라우저에 지시합니다. 프레이밍을 거부하면 클릭재킹을 효과적으로 방지할 수 있습니다.
- 프레임 버스팅 스크립트: 이 스크립트는 웹사이트가 프레임 안에 표시되는 것을 방지합니다.
- 콘텐츠 보안 정책(CSP): 최신 브라우저는 프레임에 페이지가 로드되는 것을 방지하는 이 정책을 지원합니다.
유사한 사이버보안 위협과의 비교
| 용어 | 설명 | 유사점 | 차이점 |
|---|---|---|---|
| 피싱 | 공격자는 신뢰할 수 있는 엔터티를 가장하여 사용자를 속여 민감한 정보를 공개하도록 합니다. | 둘 다 속임수와 사용자 신뢰 조작을 포함합니다. | 피싱은 종종 이메일을 사용하고 신뢰할 수 있는 엔터티의 시각적 스타일을 모방하는 반면, 클릭재킹은 악성 웹 콘텐츠를 사용합니다. |
| XSS(교차 사이트 스크립팅) | 신뢰할 수 있는 웹사이트에 악성 스크립트가 삽입됩니다. | 둘 다 사용자를 대신하여 무단 작업으로 이어질 수 있습니다. | XSS는 웹 사이트에 코드를 삽입하는 반면, 클릭재킹은 사용자를 속여 오버레이된 콘텐츠와 상호 작용합니다. |
클릭재킹에 대응하기 위한 미래 전망과 기술
앞으로 개발자와 보안 전문가는 클릭재킹 공격을 방지하기 위해 보안 관행을 통합해야 합니다. 브라우저 보안 강화, 보다 정교한 프레임 버스팅 스크립트, 콘텐츠 보안 정책의 광범위한 채택은 클릭재킹 대응에 대한 미래의 관점 중 일부입니다.
또한 AI 및 기계 학습 기술을 활용하여 사용자 상호 작용 및 웹 사이트 구조의 패턴과 이상 현상을 식별함으로써 클릭재킹을 탐지하고 예방할 수 있습니다.
프록시 서버 및 클릭재킹에 대한 연결
프록시 서버는 사용자와 인터넷 사이의 중개자 역할을 합니다. 클릭재킹을 직접적으로 방지하지는 않지만 사용자의 IP 주소를 마스킹하여 추가 보안 계층을 추가하여 공격자가 특정 사용자를 표적으로 삼는 것을 더 어렵게 만듭니다. 또한 일부 고급 프록시 서버는 위협 인텔리전스를 제공하고 의심스러운 활동을 감지하여 잠재적으로 클릭재킹 시도를 식별하고 차단할 수 있습니다.
