클릭하는 것만으로, 정보 유출 및 PC를 제어당하는 피해로 이어지는 '클릭 재킹'

클릭 재킹(클릭 잭 공격, Clickjacking, User Interface redress attack, UI redress attack, UI redressing)은 웹페이지의 이용자에 대해 악의적으로 사용되는 기술의 일종으로 링크와 버튼 등의 요소를 은폐, 위장하고 클릭을 유도하여, 이용자의 의도하지 않은 작업을 발생시키려고 하는 기법이다. 예를 들어, 다른 기능을 수행하는 버튼으로 가장한 임베디드 코드를 이용자에게 들키지 않게 실행한다. 이 수법에 의해 보기에는 무해한 것 같은 웹페이지에서 클릭하는 것만으로, 정보 유출 및 PC를 제어당하는 피해로 이어질 수 있다. 다양한 웹브라우저와 플랫폼에 공통되는 보안 문제라고 할 수 있다.

clickjacking이라는 표현은 Jeremiah Grossman과 Robert Hansen가 2008년에 만들어 낸 것이다.

◆ 수법

공격자는 투명화한 다른 페이지를 사용자가 연 페이지의 위에 겹쳐서 로드한다. 이에 따라 이용자는 거기에 보이는 버튼을 클릭하고 있다고 생각하지만, 실제로는 그 위에 있는 다른 버튼을 클릭하고 있는 상황이다.

이미지
https://images.app.goo.gl/Mqe1jrReXQZt946H8

이미지: Clickjacking Attacks: What They Are and How to Prevent Them ...

이미지
Clickjacking Attack on Facebook
https://images.app.goo.gl/VyKjXvEw9F3WEaUi8

이미지: Clickjacking Attack on Facebook | Netsparker

즉 이용자가 모르는 사이에 다른 사이트에서 어떤 행동을 취하게 될 우려가 있다. 이 경우 이용자는 스스로 버튼을 눌러 올바른 절차를 밟고 있는 셈이기 때문에, 후에 공격의 흔적을 추적할 방법이 없다.

클릭 재킹은 Confused deputy problem(컴퓨터가 가지는 권한을 악용당하는 문제)의 일종으로 파악할 수 있다.

◆ 사례

- Flash를 이용하여 Web카메라와 마이크를 작동시킨다
- 소셜 네트워크 서비스의 프로필의 공개 설정을 변경시킨다
- Twitter에서 누군가를 팔로우하게 한다
- Facebook에서 링크를 공유하게 한다

◆ 대책

사용자 측의 대책 :
Mozilla Firefox에서 NoScript라는 확장기능이 제공하는 ClearClick라는 기능을 이용할 수 있다. 다른 브라우저도 공격에 사용되는 Flash 등의 플러그인, iframe, JavaScript를 수동으로 해제할 수 있지만, 클릭 재킹은 CSS만으로 실현 가능하기 때문에 완전히 막을 수는 없다.

공급자 측의 대책 :
클릭 재킹에 의한 이용자의 무의식적인 선택을 피하고 싶은 웹사이트 관리자는 HTTP 응답헤더에 X-FRAME-OPTIONS을 포함하여, 해당 웹페이지를 다른 사이트의 페이지에서, iframe을 호출하지 않도록 웹브라우저에 지시할 수 있다. 2015년 현재 주요 웹브라우저의 대부분이 이 지시에 따른다.

출처 참조 번역
クリックジャッキング
https://ja.m.wikipedia.org/wiki/%E3%82%AF%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0