클릭재킹 해킹으로부터 보호하는 방법

디지털 세상에서는 클릭 한 번으로 인해 큰 위협에 노출될 수 있습니다. 클릭재킹 해킹은 이러한 위협 중 하나로, 해커가 사용자의 클릭을 이용하여 소중한 정보를 탈취하거나 피해를 입히는 건데요. 이 블로그에서는 클릭재킹 해킹의 작동 원리와 함께, 이에 대처하여 보호하는 방법에 대해 알아볼게요!

​​

클릭재킹 공격이란?

클릭재킹 공격은 웹사이트를 통해 사용자를 속여 악의적인 행동을 유도하는 기술입니다. 이 공격은 보통 iframes(인라인 프레임)를 이용하여 이루어지며, 사용자가 클릭한 것과는 다른 결과를 초래할 수 있습니다.

​

클릭재킹 방법

라이크재킹 (Likejacking)

라이크재킹은 페이스북의 "좋아요" 버튼을 악용한 공격입니다. 흔히 페이스북 외부 사이트에 나타나는 "좋아요" 버튼을 클릭한 사용자가 의도하지 않은 페이지나 콘텐츠에 좋아요를 표시하게 됩니다. 이렇게 좋아요를 누르는 행위는 사용자의 페이스북 프로필에 기록되어 친구들과 공유되므로, 공격자는 특정 페이지나 그룹에 대한 사용자들의 관심을 유도하거나 사생활을 침해할 수 있습니다.

​

네스팅 (Nesting)

네스팅은 악성 프레임을 합법적인 웹사이트에 삽입하는 공격입니다. 이는 악의적인 공격자가 웹사이트에 해로운 프레임을 삽입함으로써 사용자들을 속이거나 공격하는 방법 중 하나입니다. 예를 들어, 공격자는 Google+와 같은 취약한 웹사이트에 악성 프레임을 삽입하여 사용자들을 속일 수 있습니다.

​

커서재킹 (Cursorjacking)

커서재킹은 사용자의 마우스 커서를 가장자리에서 가리키는 것과 다르게 표시하여 사용자를 속이는 공격입니다. 사용자가 실제로 클릭하려는 대상과 다르게 표시되므로, 사용자는 의도치 않은 동작을 수행하게 됩니다. 이러한 공격은 과거에 사용된 오래된 브라우저의 취약점을 이용했으며 현재는 많은 브라우저에서 보안이 강화되어 있습니다.

​

마우스재킹 (Mousejacking)

마우스재킹은 무선 키보드와 컴퓨터 간의 연결이 보안상 취약한 경우, 해당 연결을 통해 가짜 키보드 입력을 전송하여 사용자를 속이는 공격입니다. 이러한 형태의 클릭재킹은 물리적인 접근이 필요하며 일반적으로 다른 클릭재킹과는 조금 다른 유형으로 분류됩니다.

​

출처: 서프샤크 VPN

 

클릭재킹 공격 작동 방법

클릭재킹 공격은 악의적인 공격자가 사용자의 클릭을 이용하여 속임수를 부리는 기술입니다. 이러한 공격은 주로 iframes(인라인 프레임)를 이용하여 이루어집니다.

​

Iframes를 활용

- 악의적인 공격자는 합법적인 웹사이트를 자신의 사기 사이트에 포함시킵니다.

- 또는 이미 손상된 합법적인 웹사이트에 보이지 않는 iframe을 삽입합니다.

​

시각적 속임수

- 사용자가 클릭할 것으로 예상되는 합법적인 웹사이트 요소 위에 악의적인 iframe을 덮어씌웁니다.

- 이때, 사용자는 실제로는 다른 결과를 초래하는 요소를 클릭하게 됩니다. 클릭이 실제로는 숨겨진 iframe에 전달됩니다.

​

간단히 말해, 클릭재킹은 사용자가 클릭하려는 것과 다르게 보이는 합법적인 웹사이트 요소 위에 숨겨진 악성 iframe을 덧씌워, 사용자의 클릭을 속이고 비정상적인 행동을 유도하는 공격입니다.

 

​클릭재킹 공격 예시

클릭재킹 예시를 들어볼게요.

​

1. 여러분이 'videogamedeals.ro.ru' 사이트에 접속합니다.

2. 'WAR OF WORLDCRAFT STEAM SUPER DEAL!!' 같이 휘황찬란해 보이는 광고 버튼을 클릭합니다.

3. 'videogamedeals.ro.ru' 사이트는 'store.steampowered.com'을 iframe으로 사용하여 악성 페이지를 로드합니다.

4. 해커는 지불 세부 정보 필드 위에, 일반인 눈엔 보이지 않는 막을 쌓습니다.

5. 여러분은 지불 세부 정보를 그 위에 입력하게 됩니다.

6. 해커는 여러분의 지불 세부 정보 및/또는 돈을 가져갑니다.

​

이렇게 하면 클릭재킹 공격은 사용자를 속여서 데이터를 누설하게 하거나, 돈을 이체하게 하거나, 악성 소프트웨어를 다운로드하게 할 수 있게 되는 거죠.

​​

클릭재킹 예방 방법

일반인이라면:

​

- NoClickjack과 같은 브라우저 애드온은 클릭재킹 공격이 진행 중인 경우 사용자를 경고하거나 보호할 수 있습니다.

- Surfshark VPN의 CleanWeb과 같은 보안 앱은 사기 사이트의 클릭재킹 공격을 차단할 수 있습니다.

- 의심스러운 사이트는 멀리하세요.

​

웹사이트를 운영하는 사람들이라면:

​

- "X-프레임 옵션"이라는 것을 조작하여 웹사이트가 iframe에서 사용되지 못하도록 방지할 수 있습니다. 아니면 좀 더 최신인 "frame ancestors 지시문"을 사용하시는 것도 추천드려요.

- 최신 보안 트렌드를 따르세요.

- 사이트가 해킹되고 iframe으로 삽입되지 않도록 방지하세요.

​

​

클릭재킹 방어에 관심이 없거나 잘 모르는 사람이라면 언제든지 당할 수 있는 사기입니다. 이건 따로 예방을 할 수 있는 명확한 방법이 없기 때문에 사용자 차원에서 조심할 수밖에 없는데요. 서프샤크 VPN을 사용하면 위험한 웹사이트로부터 보호를 받을 수 있답니다!

​