보안 용어집: WAF

클릭재킹

클릭재킹은 사용자가 눈에 보이지 않거나 다른 요소로 위장한 웹페이지 요소를 클릭하도록 속이는 사기성 사이버 공격입니다. 이러한 유형의 공격으로 인해 사용자는 맬웨어 다운로드, 악성 웹사이트 방문, 민감한 정보 공개, 자금 이체, 의도하지 않은 온라인 구매 등의 작업을 실수로 수행하게 될 수 있습니다.

공격은 일반적으로 인라인 프레임(iframe)을 사용하여 보이는 페이지 위에 보이지 않는 웹페이지나 HTML 요소를 계층화하는 것과 관련됩니다. 사용자에게는 웹페이지가 정상적으로 보이지만 실제로는 클릭이 이 숨겨진 레이어로 리디렉션됩니다. 결과적으로 사용자는 자신이 볼 수 있는 페이지와 상호작용하고 있다고 생각하지만 실제로는 보이지 않는 레이어와 상호작용하고 있으며 이는 의도하지 않은 결과를 초래할 수 있습니다.

클릭재킹의 일반적인 시나리오 중 하나는 사용자가 의도치 않게 금융 거래를 승인할 수 있는 은행 사이트와 같은 합법적인 웹페이지를 조작하는 것입니다. 공격자는 사용자의 클릭을 효과적으로 가로채서 자신의 이익을 위해 리디렉션합니다.

클릭재킹 공격에는 다양한 형태가 있습니다.

  • 라이크재킹: 이 변형은 Facebook과 같은 소셜 미디어 플랫폼을 대상으로 합니다. 여기에는 사용자가 자신이 보증할 의도가 없는 페이지나 콘텐츠를 무의식적으로 "좋아요"하도록 "좋아요" 버튼을 조작하는 것이 포함됩니다. 이 기술은 악의적인 콘텐츠를 퍼뜨리거나 사기적으로 페이지의 인기를 부풀릴 수 있습니다.
  • 커서재킹: 또 다른 변형은 사용자의 커서 위치를 변경하는 것입니다. 공격자는 커서의 모양이나 위치를 변경하여 사용자가 화면에서 실제 클릭한 위치에 대해 오해하게 합니다. 이 방법은 역사적으로 웹 브라우저와 Flash와 같은 플러그인의 취약점을 악용해 왔으며 그 중 다수가 패치되었습니다.

클릭재킹을 방지하기 위해 다양한 방어 전략을 사용할 수 있습니다. 여기에는 웹페이지가 iframe 내에 표시되는 것을 방지하는 프레임 버스팅 스크립트 구현, 페이지 프레임 지정 방법 및 여부를 제한할 수 있는 X-Frame-Options HTTP 헤더와 같은 보안 기능 활용이 포함됩니다. 또한 사용자는 브라우저와 플러그인을 최신 상태로 유지하고 익숙하지 않은 웹사이트에서의 클릭과 상호 작용에 주의하여 보호 기능을 강화할 수 있습니다. 이러한 기만적이고 잠재적으로 유해한 공격으로부터 보호하려면 개발자와 사용자 모두 클릭재킹 전술을 이해하고 인식하는 것이 중요합니다.