한 보안 연구자가 구글 크롬에 대한 클릭재킹 공격의 POC를 웹에 공개해 관심을 끌고 있다. 한편, 클릭재킹은 보안 커뮤니티의 협력이 필요한 이슈라는 전문가들의 의견이 제기되고 있다.

지난 29일(현지 시간) 보안 연구자 아디뜨야 수드(Aditya Sood)가 구글 크롬에 대한 클릭재킹의 POC와 함께 이에 대한 보안 권장 사항을 버그트랙(BugTraq)에 업데이트했다. 수드의 클릭재킹 POC 공개는 마이크로소프트(이하 MS)가 인터넷 익스플로러 8(이하 IE 8)에 클릭재킹에 대한 보안을 강화했다고 발표한 직후에 이루어져 더욱 많은 관심을 끌고 있다.

수드는 크롬 1.0.154.43 버전으로 테스트했으며 구글 크롬 브라우저가 클릭재킹에 취약하다고 주장했다. 이에 대해 구글은 대변인을 통해 롬 1.0.154.43 버전과 그 이전의 버전이 영향을 받을 수 있다면서도 클릭재킹이 모든 웹 브라우저에 영향을 끼치는 심각한 이슈라고 지적하는 등 신속하게 대응했다.

구글 대변인은 “이 이슈는 웹과 웹페이지가 고안된 방식에 관계가 있는 것으로 특정한 브라우저를 위한 단순한 픽스가 없다”면서도 “관계자들과 표준화된 장기적인 완화를 위한 접근 방식을 찾고 있다”고 강조했다.

그러나 외신 보도에 따르면 수드가 POC를 통해 지적한 구글 크롬뿐만 아니라 파이어폭스 3.0.5 버전에도 동일한 취약성이 보고 되었다. 그나마 다행스러운 점이라면 파이어폭스는 노스크립트(NoScript) 플러그인에 포함된 안티클릭재킹 기능인 클리어클릭(ClearClick)으로 그나마 위험을 완화할 수 있다는 정도다.

한편 MS는 최근 IE 8에 클릭재킹과 관련해 보안을 강화했다고 발표했지만 비평가들은 MS의 솔루션은 미봉책에 불과하다고 비난했다. MS는 수드의 POC 공개 이틀 전인 지난 27일(현지 시간) IE 블로그(http://blogs.msdn.com/ie)를 통해 IE 8에 클릭재킹 보호 기능이 강화됐다며 이른바 엑스프레임 옵션(X-FRAME-OPTIONS)에 관해 설명했다.

이와 관련해 지난해 로버트 핸슨(Robert Hansen)과 더불어 클릭재킹을 발견한 화이트햇 시큐리티의 CTO 제레미아 그로스맨(Jeremiah Grossman)은 “MS가 클릭재킹에 대응하기 위해 노력한 것은 긍정적”이라면서도 “그러나 안타깝게도 보통의 웹 네티즌들은 스스로를 보호하는 방법을 알지 못 한다”고 말했다.

아울러 그는 “노스크립트는 클릭재킹뿐만 아니라 다른 수많은 웹 기반 공격을 방지할 수 있는 강력한 보안 기능”이라며 브라우저 업체들이 노스크립트 파이어폭스 플러그인(NoScript Firefox plug-in)을 디폴트로 구축해야 한다고 주장했다.

한편, 수드의 POC에 따르면 사용자들은 예를 들어 야후닷컴으로 보이는 링크를 클릭하지만 실제로는 크로스사이트 스크립트 사이트로 가게 된다는 것이다. 그는 클릭재킹 된 페이지는 사용자를 속여 숨겨진 링크를 클릭하게 함으로써 원치 않는 일을 수행하게 한다고 설명했다.

그는 공격자들이 클릭재킹된 페이지에 일련의 더미 버튼을 보이게 한 후 다른 페이지를 로드한다고 설명했다. 즉, 사용자는 눈에 보이는 버튼을 클릭했기 때문에 자신이 무엇을 하는지 알고 있다고 생각하겠지만 실제로는 숨겨진 페이지에서 전혀 의도하지 않은 행위를 수행하게 되는 것이다.

수드의 구글 크롬의 클릭재킹 취약성 POC에 관한  상세한 내용은 http://www.secniche.org/gcr_clkj에서 통해 확인할 수 있다.
[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>