맨위로가기

클릭재킹

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

클릭재킹은 사용자가 웹 페이지에서 의도하지 않은 동작을 하도록 유도하는 공격 기법이다. 이는 투명한 레이어를 사용하여 사용자가 보이지 않는 요소를 클릭하게 만드는 방식으로, 소셜 미디어의 '좋아요' 버튼 조작, 웹캠 및 마이크 활성화, 개인 정보 노출 등 다양한 형태로 나타난다. 클릭재킹은 여러 종류로 나뉘며, 브라우저 확장 프로그램 설치, 서버 측의 X-Frame-Options 헤더 설정 등을 통해 예방할 수 있다.

더 읽어볼만한 페이지

  • 컴퓨터 문화 - 디지털 사회학
    디지털 사회학은 디지털 미디어를 활용하여 사회 현상을 연구하고, 개인의 자아와 사회적 관계에 미치는 영향을 분석하며, 사회 운동, 디지털 격차, 소셜 미디어의 영향 등 다양한 주제를 다룬다.
  • 컴퓨터 문화 - 스크립트 키디
    스크립트 키디는 숙련되지 않은 기술로 기존 도구와 스크립트를 활용하여 컴퓨터 시스템의 보안 취약점을 악용하는 사람을 지칭하며, 주로 재미나 명성을 위해 웹사이트 훼손, 악성 바이러스 유포 등의 행위를 한다.
  • 사회공학 (보안) - 가짜뉴스
    가짜 뉴스는 뉴스 형식을 띠지만 허위이거나 오도된 정보를 의미하며, 정치적, 경제적 동기를 가지고 인터넷과 소셜 미디어를 통해 확산되며, 사회적 분열과 민주주의를 위협하는 부정적인 효과를 초래한다.
  • 사회공학 (보안) - 스미싱
    스미싱은 악성 앱 설치를 유도해 개인정보를 빼내는 사기 수법으로, 안드로이드 사용자는 "알 수 없는 소스" 옵션 설정을 변경하거나 스미싱 차단 앱을 설치하여 예방할 수 있다.
  • 웹 취약점 공격 - 보안 취약점
    보안 취약점은 시스템의 설계, 구현, 운영, 관리상 결함이나 약점으로, 위협에 의해 악용되어 시스템 보안 정책을 위반할 수 있는 요소이며, ISO 27005, IETF RFC 4949, NIST SP 800-30, ENISA 등 다양한 기관에서 정의하고 있다.
  • 웹 취약점 공격 - 인터넷 보안
    인터넷 보안은 사이버 위협, 악성 소프트웨어, 서비스 거부 공격 등으로부터 정보와 시스템을 보호하기 위해 네트워크 계층 보안, 다단계 인증, 방화벽 등 다양한 기술과 방법을 포괄한다.
클릭재킹
개요
종류사용자 인터페이스 공격
공격 유형악성 소프트웨어, 피싱, 취약점 공격
목표웹 사용자
영향정보 유출
악성 코드 감염
권한 탈취
상세 정보
정의웹 사용자를 속여 의도치 않은 행동을 수행하도록 만드는 악성 기법
작동 방식공격자는 사용자가 인식하지 못하는 방식으로 웹 페이지의 사용자 인터페이스 요소를 조작
사용자는 보이는 요소 (예: 버튼)를 클릭하지만, 실제로는 다른 요소 (예: 숨겨진 프레임의 버튼)를 클릭하게 됨
공격 목표사용자의 계정 설정 변경, "좋아요" 클릭, 결제 등
기술적 설명
핵심 기술iframe
CSS
JavaScript
iframe 활용공격자는 iframe을 사용하여 대상 웹 사이트의 페이지를 자신의 페이지에 삽입
CSS 활용CSS 스타일을 사용하여 iframe을 투명하게 만들거나 다른 요소 위에 겹쳐 놓음
JavaScript 활용JavaScript를 사용하여 클릭 이벤트를 가로채고 다른 동작을 수행
공격 유형
좋아요 재킹 (Like jacking)사용자가 "좋아요" 버튼을 클릭하도록 유도하여 원치 않는 콘텐츠를 공유하게 만듦
커서 재킹 (Cursor jacking)사용자의 마우스 커서 위치를 속여 다른 링크나 버튼을 클릭하게 만듦
파일 다운로드 재킹 (File download jacking)사용자가 악성 파일을 다운로드하도록 유도
소셜 네트워크 공격사용자의 소셜 네트워크 계정을 제어하여 악성 게시물을 올리거나 친구 요청을 보냄
방어 방법
X-Frame-Options 헤더웹 서버는 X-Frame-Options 헤더를 사용하여 자신의 페이지가 다른 도메인의 iframe에 포함되는 것을 방지할 수 있음
프레임 버스팅 (Frame busting)JavaScript를 사용하여 페이지가 iframe 내에 로드되었는지 확인하고, 그렇다면 페이지를 iframe에서 벗어나도록 함
사용자 교육사용자가 의심스러운 링크를 클릭하지 않도록 교육하고, 웹 사이트의 출처를 확인하도록 함
추가 정보
취약점 발견2008년에 처음 발견되어 널리 알려짐
Adobe의 대응Adobe는 clickjacking 공격에 대한 발표를 취소하도록 요청한 적이 있음

2. 역사

2002년에 사용자가 눈치채지 못하게 웹 페이지 위에 투명한 레이어를 로드하여 사용자의 입력을 투명한 레이어에 영향을 미치도록 할 수 있다는 점이 지적되었다.[7] 그러나 수정 사항은 2004년경에 이르러서야 조금씩 적용되기 시작했고,[8] 2008년까지는 이 문제가 주요 문제로 간주되지 않고 대부분 무시되었다.

2008년, 제레마이어 그로스만과 로버트 핸슨(SecTheory 소속)은 Adobe Flash Player가 클릭재킹에 취약하다는 것을 발견했으며, 이를 통해 해커가 사용자의 인지 없이 사용자의 컴퓨터에 접근할 수 있게 되었다.[7] 그로스만과 핸슨은 "클릭"과 "하이재킹"의 혼성어인 "클릭재킹"이라는 용어를 만들었다.[9][10]

유사한 공격이 더 많이 발견되면서, "UI 리드레싱"이라는 용어는 클릭재킹 자체뿐만 아니라 이러한 공격의 범주를 설명하는 데 초점이 맞춰졌다.[7]

3. 설명

클릭재킹은 사용자가 겉으로는 안전해 보이는 웹페이지의 요소를 클릭했을 때, 실제로는 숨겨진 다른 요소를 클릭하게 만들어 의도치 않은 동작을 유발하는 공격 기법이다.

클릭재킹 페이지는 사용자가 숨겨진 링크를 클릭하도록 속여 예상치 못한 행동을 하게 만든다. 사용자는 보이는 버튼을 클릭한다고 생각하지만, 실제로는 투명하게 겹쳐진 다른 페이지의 요소를 클릭하게 된다. 이 숨겨진 페이지는 인증 페이지일 수도 있으며, 공격자는 사용자가 전혀 의도하지 않은 행동(예: 특정 상품 구매, 계정 정보 변경 등)을 수행하도록 유도할 수 있다. 사용자는 정상적인 인증 절차를 밟았다고 생각하기 때문에, 이러한 공격은 추후에 추적하기 어렵다.[7]

2002년에 이미 웹 페이지 위에 투명한 레이어를 씌워 사용자 입력을 가로챌 수 있다는 사실이 지적되었으나,[7] 실질적인 보안 조치는 2004년경에야 이루어지기 시작했다.[8] 2008년까지 이 문제는 크게 주목받지 못했다.

2008년, 제레마이어 그로스만과 로버트 핸슨은 Adobe Flash Player의 취약점을 통해 해커가 사용자 몰래 컴퓨터에 접근할 수 있음을 발견했다.[7] 이들은 "클릭"과 "하이재킹"을 합쳐 "클릭재킹"이라는 용어를 만들었다.[9][10]

이후 유사한 공격들이 발견되면서, "UI 리드레싱"이라는 용어가 클릭재킹을 포함한 이러한 공격 유형을 통칭하는 용어로 사용되기 시작했다.[7]

클릭재킹은 공격자가 애플리케이션이나 웹 페이지의 취약점을 악용하여 사용자의 컴퓨터를 조작하는 방식으로 이루어진다. 고전적인 클릭재킹은 보안 해커가 웹 페이지에 숨겨진 레이어를 사용하여 사용자가 실제로 클릭하는 것을 오해하게 만드는 상황을 말한다.[18] 예를 들어, 사용자는 비디오 재생 버튼을 클릭한다고 생각하지만, 실제로는 투명하게 겹쳐진 아마존 상품 페이지의 "구매" 버튼을 클릭하게 될 수 있다. 해커는 사용자가 아마존에 로그인되어 있고 원클릭 주문이 활성화된 상태를 이용한다.

이러한 공격은 브라우저 간 비호환성으로 인해 기술적으로 구현하기 어려울 수 있지만, BeEF나 메타스플로잇 프로젝트와 같은 도구를 사용하면 취약한 웹사이트에서 클라이언트를 거의 자동화하여 악용할 수 있다. 클릭재킹은 XSS와 같은 다른 웹 공격을 유발하거나 돕기도 한다.[19][20]

클릭재킹은 혼란된 대리자 문제의 일종으로 볼 수 있다.

4. 종류

클릭재킹은 다양한 형태로 나타난다. 주요 종류는 다음과 같다.


  • 클래식: 주로 웹 브라우저를 통해 작동한다.[7]
  • 라이크재킹: 페이스북의 소셜 미디어 기능을 악용한다.[11][12]
  • 네스티드: Google+에 영향을 주도록 맞춤화된 형태이다.[13]
  • 커서재킹: 커서의 모양과 위치를 조작한다.[7]
  • 마우스재킹: 원격 RF 링크를 통해 키보드 또는 마우스 입력을 주입한다.[14]
  • 브라우저리스: 브라우저를 사용하지 않는다.[7]
  • 쿠키재킹: 브라우저에서 쿠키를 획득한다.[7][15]
  • 파일재킹: 공격 대상 장치를 파일 서버로 설정할 수 있다.[7][16][17]
  • 비밀번호 관리자 공격: 브라우저의 자동 채우기 기능의 취약점을 이용한다.[7]


이 외에도 다음과 같은 예시들이 있다.

  • 플래시를 통해 사용자가 웹캠과 마이크를 활성화하도록 유도한다.
  • 사용자가 SNS 프로필 정보를 공개하도록 유도한다.
  • 다른 사람의 트위터를 팔로우하게 만든다.[70]
  • 페이스북 링크를 공유하게 만든다.[71][72]
  • 페이스북 '좋아요'를 누르게 만든다.
  • 구글 애드센스 프로그램에서 부정한 수입을 얻는다.


클릭재킹은 사이트 간 스크립팅과 같은 다른 웹 공격에 의해 발생할 수 있다.[73][74]

4. 1. 클래식

고전적인 클릭재킹은 보안 해커가 웹 페이지의 숨겨진 레이어를 사용하여 사용자의 커서가 수행하는 작업을 조작하여 사용자가 실제로 클릭하는 것에 대해 오해하게 만드는 상황을 말한다.[18]

사용자는 뉴스 항목에 대한 비디오 링크가 포함된 이메일을 받을 수 있지만, 예를 들어 아마존의 제품 페이지와 같은 다른 웹 페이지가 뉴스 비디오의 "재생" 버튼 위나 아래에 "숨겨질" 수 있다. 사용자는 비디오를 "재생"하려고 하지만 실제로는 아마존에서 제품을 "구매"하게 된다. 해커는 단일 클릭만 보낼 수 있으므로 방문자가 아마존에 로그인되어 있고 원클릭 주문이 활성화되어 있다는 사실에 의존한다.

이러한 공격의 기술적인 구현은 브라우저 간의 비호환성으로 인해 어려울 수 있지만, BeEF 또는 메타스플로잇 프로젝트와 같은 많은 도구는 취약한 웹사이트에서 클라이언트를 거의 완전히 자동화하여 악용할 수 있다. 클릭재킹은 XSS와 같은 다른 웹 공격을 촉진하거나 촉진할 수 있다.[19][20]

4. 2. 라이크재킹

라이크재킹은 사용자가 의도와 다르게 페이스북의 ‘좋아요’를 누르게 하는 악의적인 기법이다.[75] Likejacking은 사용자가 웹사이트를 보면서 의도적으로 "좋아요"를 누르지 않은 페이스북 페이지나 다른 소셜 미디어 게시물/계정을 "좋아요"하도록 속이는 보안 해킹의 악성 기술이다.[21] "Likejacking"이라는 용어는 코리 발로우(Corey Ballou)가 작성한 기사 ''웹에서 무엇이든 "좋아요"하는 방법 (안전하게)''에 게재된 댓글에서 유래되었으며,[22] 이는 페이스북의 "좋아요" 버튼과 관련된 악의적인 활동의 가능성을 설명하는 최초의 문서 중 하나이다.[23]

IEEE 스펙트럼의 기사에 따르면, likejacking에 대한 해결책은 페이스북의 해커톤 중 하나에서 개발되었다.[24] "좋아요" 북마클릿은 페이스북 좋아요 버튼에 존재하는 likejacking의 가능성을 피할 수 있도록 제공된다.[25]

4. 3. 네스티드

중첩 클릭재킹은 기존의 클릭재킹과 비교했을 때, 원래의 무해한 웹 페이지의 두 프레임 사이에 악성 웹 프레임을 삽입하여 작동한다. 즉, 프레임된 페이지와 최상위 창에 표시되는 페이지 사이에 악성 웹 프레임을 삽입한다. 이는 HTTP 헤더 `X-Frame-Options`의 취약점 때문에 작동하며, 이 요소의 값이 `SAMEORIGIN`일 경우, 웹 브라우저는 앞서 언급된 두 계층만 확인한다. 이러한 두 계층 사이에 추가 프레임을 탐지되지 않은 채로 추가할 수 있다는 사실은 보안 해커가 이를 악용할 수 있다는 것을 의미한다.

과거에는 구글 플러스(Google+)와 결함이 있는 `X-Frame-Options` 버전으로 인해, 보안 해커가 구글 이미지의 취약점을 이용하여 원하는 프레임을 삽입할 수 있었다. 구글 플러스에도 존재했던 이미지 표시 프레임 사이에, 이러한 공격자가 제어하는 프레임은 로드될 수 있었고 제한되지 않아, 보안 해커가 이미지 표시 페이지에 접속하는 사람을 오도할 수 있었다.[13]

4. 4. 커서재킹

커서재킹(CursorJacking)은 사용자가 인식하는 커서의 위치를 변경하는 UI 리드레싱 기술이다. 2010년 vulnerability.fr의 연구원 에디 보르디(Eddy Bordi)가 발견했다.[26] 마커스 니미에츠(Marcus Niemietz)는 사용자 지정 커서 아이콘을 사용하여 이를 시연했으며, 2012년에는 마리오 하이데리히(Mario Heiderich)가 커서를 숨기는 방식으로 시연했다.[27]

조르디 샹셀(Jordi Chancel)은 Alternativ-Testing.fr의 연구원으로, Mac OS X 시스템의 모질라 파이어폭스에서 플래시, HTML 및 JavaScript 코드를 사용하여 커서재킹 취약점을 발견했다(파이어폭스 30.0에서 수정). 이 취약점은 임의 코드 실행 및 웹캠 감시로 이어질 수 있다.[28]

조르디 샹셀은 모질라 파이어폭스 Mac OS X 시스템에서 플래시, HTML 및 JavaScript 코드를 이용해 두 번째 커서재킹 취약점을 발견했다(파이어폭스 37.0에서 수정). 이 취약점은 웹캠을 통한 감시 및 악성 애드온 실행으로 이어져 피해자 컴퓨터에서 멀웨어를 실행할 수 있게 한다.[29]

4. 5. 마우스재킹

MouseJack은 2016년 Bastille.net의 마크 뉴린이 처음 보고한 무선 하드웨어 기반 UI 취약점이다. 외부 키보드 입력을 취약한 동글에 주입할 수 있게 해준다.[30] 로지텍은 펌웨어 패치를 제공했지만, 다른 제조업체들은 이 취약점에 대응하지 못했다.[31]

4. 6. 브라우저리스

브라우저리스 클릭재킹에서, 공격자는 웹 브라우저를 사용하지 않고도 프로그램의 취약점을 이용하여 기존의 클릭재킹을 복제한다.

이러한 클릭재킹 방법은 주로 모바일 기기, 특히 안드로이드 기기에서 널리 사용되는데, 이는 토스트 알림의 작동 방식 때문이다. 토스트 알림은 알림이 요청된 순간과 실제로 화면에 표시되는 순간 사이에 짧은 지연 시간이 있다. 공격자는 이 간격을 이용하여 알림 아래에 숨겨져 있고 클릭될 수 있는 가짜 버튼을 생성할 수 있다.[7]

4. 7. 쿠키재킹

쿠키 재킹은 피해자의 웹 브라우저에서 쿠키를 훔치는 클릭재킹의 한 형태이다. 이는 사용자에게 겉보기에는 무해해 보이지만 실제로는 대상 쿠키의 전체 내용을 선택하게 만드는 객체를 끌어오도록 속여서 수행된다. 거기서 공격자는 쿠키와 쿠키가 가지고 있는 모든 데이터를 획득할 수 있다.[15]

4. 8. 파일재킹

파일재킹(FileJacking)은 공격자가 웹 브라우저의 컴퓨터 탐색 기능을 사용하여 개인 데이터를 얻기 위해 컴퓨터 파일에 접근하는 기법이다. 이는 사용자를 속여 활성 파일 서버를 구축하도록 유도한다(브라우저가 사용하는 파일 및 폴더 선택 창을 통해). 이를 통해 공격자는 피해자의 컴퓨터에서 파일에 접근하고 훔칠 수 있다.[16]

4. 9. 비밀번호 관리자 공격

일부 비밀번호 관리자는 https로 저장된 비밀번호의 http 버전에 대한 비밀번호를 안전하지 않게 채워 넣는 것으로 나타났다.[17][76] 대부분의 브라우저는 iFrame 및 URL 리디렉션 기반 공격과 여러 장치 간에 사용되는 암호 동기화에 의해 노출된 추가적인 암호를 보호하지 않는다.[76]

5. 예시

사용자는 비디오에 링크된 이메일을 받을 수 있다. 그러나 아마존의 상품 페이지가 유효한 페이지이며 사용자가 "플레이" 버튼을 누를 때 실제로는 상품의 "구매" 버튼을 누르는 것일 수 있다.

다른 예시들은 다음과 같다.


  • 플래시를 이용하여, 웹캠마이크를 작동시킨다.
  • 소셜 네트워크 서비스의 프로필 공개 설정을 변경시킨다.
  • 트위터에서 누군가를 팔로우하게 한다.[59]
  • 페이스북에서 링크를 공유하게 한다.[60][61]
  • 플래시를 통해 사용자가 자신의 웹캠과 마이크를 활성화시키게 속인다.
  • 사용자가 자신의 SNS 프로필 정보를 공개하게 속인다.
  • 다른 사람의 트위터를 팔로우하게 속인다.[70]
  • 페이스북의 링크를 공유하게 한다.[71][72]
  • 페이스북의 "좋아요"를 누르게 한다.
  • 구글 애드센스 프로그램에서 불법적인 수입을 올린다.


브라우저 간의 호환되지 않는 점으로 인해 이런 공격을 기술적으로 구현하는 것은 어렵지만, BeEF나 메타스플로이트 프로젝트 같은 많은 툴들이 취약한 웹 사이트를 공격하는 거의 완전한 자동화된 익스플로잇을 제공한다. 클릭재킹은 사이트 간 스크립팅 같은 다른 웹 공격에 의해 가능해질 수 있다.[73][74]

2009년 3월, 하마치야2가 하테나 북마크 이용자를 대상으로, 겉보기에는 무관한 버튼을 누르게 하여 의도치 않게 소셜 북마크를 하게 만드는 데몬스트레이션을 공개했다.[62]

6. 예방

클릭재킹을 예방하는 방법은 크게 클라이언트 측과 서버 측 두 가지로 나눌 수 있다.
클라이언트 측 예방


  • 파이어폭스의 경우 NoScript 애드온을 설치하여 보호할 수 있다.[77]
  • GuardedID는 인터넷 익스플로러와 파이어폭스에서 합법적인 iFrame의 동작을 방해하지 않으면서 클릭재킹을 방어한다.[77]
  • 가젤은 마이크로소프트 리서치에서 개발한 인터넷 익스플로러 기반의 안전한 웹 브라우저 프로젝트로, OS와 비슷한 보안 모델을 사용하여 클릭재킹에 대한 제한적인 방어를 제공한다.[78]
  • 모질라 파이어폭스 데스크톱 및 모바일[32] 버전에서는 NoScript 부가 기능을 설치하여 클릭재킹(likejacking 포함)을 방지할 수 있다. NoScript의 ClearClick 기능은 사용자가 보이지 않거나 변형된 페이지 요소를 클릭하는 것을 방지한다.[33]
  • NoScript 2.2.8 RC1에는 새로운 커서재킹 공격에 대한 보호 기능이 추가되었다.[27]
  • "노클릭잭(NoClickjack)" 웹 브라우저 부가 기능(브라우저 확장)은 구글 크롬, 모질라 파이어폭스, 오페라, 마이크로소프트 엣지 사용자를 위한 클라이언트 측 클릭재킹 방지 기능을 제공하며, GuardedID를 위해 개발된 기술을 기반으로 한다.
  • GuardedID는 합법적인 iFrame의 작동을 방해하지 않으면서 Internet Explorer 사용자를 위한 클라이언트 측 클릭재킹 방지 기능을 포함하며,[35] 모든 프레임을 표시되도록 강제한다.
  • Intersection Observer v2 API[37]는 대상 요소의 실제 "가시성"을 추적하는 개념을 도입하여,[38] 프레임 내 위젯이 가려지는 시점을 감지할 수 있다. 이 기능은 2019년 4월에 출시된 구글 크롬 74 버전부터 기본적으로 활성화되었으며,[39] 크로미움 기반 브라우저인 마이크로소프트 엣지, 오페라 등에서도 구현되었다.
  • 모질라 파이어폭스에서는 NoScript의 ClearClick 기능을 사용할 수 있다. 다른 브라우저에서도 공격에 사용되는 Flash 등의 플러그인, iframe, 자바스크립트를 수동으로 비활성화할 수 있지만, CSS만으로도 클릭재킹이 가능하기 때문에 완전히 방지할 수는 없다.

서버 측 예방

  • 웹 사이트 소유자들은 프레임킬러 자바스크립트 스니펫을 포함한 UI 리드레싱을 이용하여 서버 측에서 사용자를 보호할 수 있다.[79]
  • 자바스크립트 기반 보호는 항상 신뢰할 수 있는 것은 아니며, 특히 인터넷 익스플로러[79]에서는 이러한 대책이 대상 페이지에 클릭재킹을 포함하는 디자인에 의해 우회될 수 있다.[80]
  • 클릭재킹에 대한 부분적인 보호를 제공하는 새로운 HTTP 헤더 `X-Frame-Options`는[81][82] 2009년에 IE8에서 추가되었고, 이후 다른 브라우저들에도 채택되었다.[83][84][85][86] 이 헤더를 통해 웹사이트 소유자는 원하는 프레이밍 정책을 설정할 수 있다. `DENY`, `SAMEORIGIN`, 또는 `ALLOW-FROM ''origin''` 값들은 각각 프레이밍, 외부 사이트에 의한 프레이밍을 금지하거나, 특정 사이트에 대한 프레이밍만 허용한다. 일부 광고 사이트들은 페이지 콘텐츠 프레이밍을 허용하기 위해 비표준 값인 `ALLOWALL`을 반환하기도 한다.
  • 컨텐트 보안 정책의 `frame-ancestors` 지시자는 iframe이나 객체를 사용하는 잠재적으로 위험한 페이지에 의한 콘텐츠 삽입을 허용하거나 금지할 수 있다.[87]
  • `Content-Security-Policy: frame-ancestors 'none'` : 모든 iframe 등이 빈 페이지나 브라우저 특정 오류 페이지를 포함하도록 하여 삽입을 금지한다.
  • `Content-Security-Policy: frame-ancestors 'self'` : 자체 콘텐츠의 삽입만 허용한다.
  • `Content-Security-Policy: frame-ancestors example.com wikipedia.org` : 특정 출처에서만 콘텐츠를 삽입하도록 허용한다.

6. 1. 클라이언트 측

클릭재킹은 파이어폭스의 경우 NoScript 애드온을 설치함으로써 보호할 수 있다.[77] GuardedID는 인터넷 익스플로러와 파이어폭스에서 합법적인 iFrame의 동작을 방해하는 것 없이 클릭재킹에서 보호해 준다.[77] 가젤은 마이크로소프트 리서치인터넷 익스플로러에 기반한 안전한 웹 브라우저 프로젝트이다. 이것은 OS와 비슷한 보안 모델을 사용하며 클릭재킹에 대한 제한된 방어를 해준다.[78]

클릭재킹(likejacking 포함)에 대한 방어는 모질라 파이어폭스 데스크톱 및 모바일[32] 버전에 NoScript 부가 기능을 설치하여 추가할 수 있다. 2008년 10월 8일에 출시된 ClearClick 기능은 사용자가 포함된 문서 또는 애플릿의 보이지 않거나 "변형된" 페이지 요소를 클릭하는 것을 방지한다.[33] 2008년 구글의 "브라우저 보안 핸드북"에 따르면 NoScript의 ClearClick은 클릭재킹에 대한 "합리적인 수준의 보호를 제공하는 무료로 제공되는 제품"이다.[34] 새로운 커서재킹 공격에 대한 보호 기능은 NoScript 2.2.8 RC1에 추가되었다.[27]

"노클릭잭(NoClickjack)" 웹 브라우저 부가 기능(브라우저 확장)은 합법적인 iFrame의 작동을 방해하지 않으면서 구글 크롬, 모질라 파이어폭스, 오페라, 마이크로소프트 엣지 사용자를 위한 클라이언트 측 클릭재킹 방지 기능을 추가한다. 노클릭잭(NoClickjack)은 GuardedID를 위해 개발된 기술을 기반으로 한다. 노클릭잭(NoClickjack) 부가 기능은 무료로 제공된다.

GuardedID(상용 제품)는 합법적인 iFrame의 작동을 방해하지 않으면서 Internet Explorer 사용자를 위한 클라이언트 측 클릭재킹 방지 기능을 포함한다.[35] GuardedID 클릭재킹 방지는 모든 프레임을 표시되도록 강제한다. GuardedID는 구글 크롬, 모질라 파이어폭스, 오페라마이크로소프트 엣지에 대한 보호 기능을 추가하기 위해 NoClickjack 부가 기능과 협력한다.

가젤은 IE를 기반으로 하는 마이크로소프트 리서치의 보안 웹 브라우저 프로젝트로, OS와 유사한 보안 모델을 사용하며 클릭재킹에 대한 자체적인 제한적인 방어 기능을 갖추고 있다.[36] 가젤에서 서로 다른 출처의 창은 그리는 내용이 불투명한 경우에만 다른 창의 화면 공간에 동적 콘텐츠를 그릴 수 있다.

Intersection Observer v2 API[37]는 사람이 정의하는 방식과 같이 대상 요소의 실제 "가시성"을 추적하는 개념을 도입했다.[38] 이를 통해 프레임 내 위젯이 가려지는 시점을 감지할 수 있다. 이 기능은 2019년 4월에 출시된 구글 크롬 74 버전부터 기본적으로 활성화되었다.[39] 이 API는 크로미움 기반 브라우저인 마이크로소프트 엣지, 오페라 등에서도 구현되었다.

모질라 파이어폭스에서는 NoScript라는 애드온이 제공하는 ClearClick 기능을 사용할 수 있다. 다른 브라우저에서도 공격에 사용되는 Flash 등의 플러그인, iframe, 자바스크립트를 수동으로 비활성화할 수 있지만, 클릭재킹은 CSS만으로도 실현 가능하기 때문에 완전히 방지할 수는 없다.

6. 2. 서버 측

웹 사이트 소유자들은 프레임킬러 자바스크립트 스니펫을 포함한 UI 리드레싱을 이용하여 서버 측에서 사용자를 보호할 수 있다.[79]

이러한 자바스크립트 기반 보호는 항상 신뢰할 수 있는 것은 아니다. 특히 인터넷 익스플로러[79]에서는 이러한 종류의 대책이 대상 페이지에 클릭재킹을 포함하는 디자인에 의해 우회될 수 있다.[80]

클릭재킹에 대한 부분적인 보호를 제공하는 새로운 HTTP 헤더 `X-Frame-Options`는[81][82] 2009년에 IE8에서 추가되었고 얼마 후 다른 브라우저들에도 채택되었다.[83][84][85][86] 웹사이트 소유자들은 이 헤더를 통해 원하는 프레이밍 정책을 설정할 수 있다. `DENY`, SAMEORIGIN, 또는 ALLOW-FROM ''origin'' 값들은 각각 프레이밍, 외부 사이트에 의한 프레이밍을 금지하거나, 특정 사이트에 대한 프레이밍만 허용한다. 일부 광고 사이트들은 페이지 콘텐츠 프레이밍을 허용하기 위해 비표준 값인 ALLOWALL을 반환하기도 한다.

컨텐트 보안 정책의 frame-ancestors 지시자는 iframe이나 객체를 사용하는 잠재적으로 위험한 페이지에 의한 콘텐츠 삽입을 허용하거나 금지할 수 있다.[87]

예시:

  • Disallow embedding. All iframes etc. will be blank, or contain a browser specific error page.
  • Content-Security-Policy: frame-ancestors 'none'
  • Allow embedding of own content only.
  • Content-Security-Policy: frame-ancestors 'self'
  • Allow specific origins to embed this content
  • Content-Security-Policy: frame-ancestors example.com wikipedia.org

참조

[1] 웹사이트 At Adobe's request, hackers nix 'clickjacking' talk http://www.pcworld.i[...] PC World 2008-10-08
[2] 뉴스 Beware, clickjackers on the prowl https://web.archive.[...] 2008-10-08
[3] 웹사이트 Net game turns PC into undercover surveillance zombie https://www.theregis[...] 2008-10-08
[4] 웹사이트 Web Surfers Face Dangerous New Threat: 'Clickjacking' https://web.archive.[...] newsfactor.com 2008-10-08
[5] 간행물 Classification of Clickjacking Attacks and Detection Techniques http://www.tandfonli[...] 2014-07-04
[6] 문서 The Confused Deputy rides again! http://waterken.sour[...] 2008-10
[7] 웹사이트 UI Redressing Attacks on Android Devices https://media.blackh[...] 2012
[8] 웹사이트 162020 - pop up XPInstall/security dialog when user is about to click (comment 44) https://bugzilla.moz[...]
[9] 문서 You don't know (click)jack http://www.securityf[...] 2008-10
[10] 웹사이트 Facebook Help Number 1-888-996-3777 http://www.sectheory[...] 2016-06-07
[11] 뉴스 Viral clickjacking 'Like' worm hits Facebook users https://nakedsecurit[...] 2018-10-23
[12] 뉴스 Facebook Worm – "Likejacking" https://nakedsecurit[...] 2018-10-23
[13] 웹사이트 On the fragility and limitations of current Browser-provided Clickjacking protection schemes https://www.usenix.o[...] 2012
[14] 웹사이트 Wireless Mouse Hacks & Network Security Protection http://www.mousejack[...] 2020-01-03
[15] 웹사이트 Cookiejacking https://web.archive.[...] 2018-10-23
[16] 웹사이트 Filejacking: How to make a file server from your browser (with HTML5 of course) http://blog.kotowicz[...] 2018-10-23
[17] 웹사이트 Password Managers: Attacks and Defenses https://www.usenix.o[...] 2015-07-26
[18] 간행물 Clickjacking: Beware of Clicking https://link.springe[...] 2021-12-01
[19] 웹사이트 The Clickjacking meets XSS: a state of art http://www.exploit-d[...] Exploit DB 2015-03-31
[20] 웹사이트 Exploiting the unexploitable XSS with clickjacking http://blog.kotowicz[...] 2015-03-31
[21] 웹사이트 Facebook Work – "Likejacking" https://web.archive.[...] Sophos 2010-06-05
[22] 웹사이트 "Likejacking" Term Catches On https://web.archive.[...] jqueryin.com 2010-06-08
[23] 웹사이트 "Likejacking" Takes Off on Facebook https://web.archive.[...] ReadWriteWeb 2010-06-05
[24] 웹사이트 Facebook Philosophy: Move Fast and Break Things https://web.archive.[...] IEEE 2011-07-15
[25] 뉴스 How to "Like" Anything on the Web (Safely) https://readwrite.co[...] 2011-08-24
[26] 웹사이트 Cursor Spoofing and Cursorjacking https://web.archive.[...] Paul Podlipensky 2017-11-22
[27] 웹사이트 Cursorjacking Again http://blog.kotowicz[...] 2012-01-31
[28] 웹사이트 Mozilla Foundation Security Advisory 2014-50 https://www.mozilla.[...] Mozilla 2014-08-17
[29] 웹사이트 Mozilla Foundation Security Advisory 2015-35 https://www.mozilla.[...] Mozilla 2015-10-25
[30] 웹사이트 What is MouseJack! https://www.bastille[...] 2020-01-03
[31] 웹사이트 CERT VU#981271 Multiple wireless keyboard/mouse devices use an unsafe proprietary wireless protocol https://www.kb.cert.[...] 2020-01-03
[32] 웹사이트 NoScript Anywhere http://noscript.net/[...] hackademix.net 2011-06-30
[33] 웹사이트 Hello ClearClick, Goodbye Clickjacking http://hackademix.ne[...] hackademix.net 2008-10-27
[34] 웹사이트 Browser Security Handbook, Part 2, UI Redressing http://code.google.c[...] Google Inc. 2008-10-27
[35] 웹사이트 Clickjacking and GuardedID ha.ckers.org web application security lab https://archive.toda[...] 2011-11-30
[36] 웹사이트 The Multi-Principal OS Construction of the Gazelle Web Browser http://research.micr[...] 18th Usenix Security Symposium, Montreal, Canada 2010-01-26
[37] 웹사이트 Intersection Observer – W3C Editor's Draft https://w3c.github.i[...]
[38] 웹사이트 Trust is Good, Observation is Better https://developers.g[...]
[39] 웹사이트 De-anonymization via Clickjacking in 2019 https://m417z.com/De[...]
[40] 웹사이트 Hey IE8, I Can Has Some Clickjacking Protection http://hackademix.ne[...] hackademix.net 2008-10-27
[41] 웹사이트 IE8 Security Part VII: ClickJacking Defenses http://blogs.msdn.co[...] 2010-12-30
[42] 웹사이트 Combating ClickJacking With X-Frame-Options http://blogs.msdn.co[...] 2010-12-30
[43] 웹사이트 Apple Safari jumbo patch: 50+ vulnerabilities fixed http://blogs.zdnet.c[...] 2009-06-10
[44] Webarchive The X-Frame-Options response header — MDC https://developer.mo[...] 2010-10-07
[45] 웹사이트 Security in Depth: New Security Features https://blog.chromiu[...] 2010-01-26
[46] 웹사이트 Web specifications support in Opera Presto 2.6 http://www.opera.com[...] 2012-01-22
[47] 웹사이트 HTTP Header Field X-Frame-Options http://www.rfc-edito[...] IETF
[48] 웹사이트 Content Security Policy Level 2 https://www.w3.org/T[...] W3C
[49] 웹사이트 lcamtuf's blog: X-Frame-Options, or solving the wrong problem https://lcamtuf.blog[...] 2011-12-10
[50] 웹사이트 Content Security Policy Level 2 http://www.w3.org/TR[...] 2015-01-29
[51] 웹사이트 Clickjacking Defense Cheat Sheet https://www.owasp.or[...] 2016-01-15
[52] 웹사이트 At Adobe's request, hackers nix 'clickjacking' talk http://www.pcworld.i[...] PC World 2008-10-08
[53] 웹사이트 Beware, clickjackers on the prowl http://infotech.indi[...] India Times 2008-10-08
[54] 웹사이트 Net game turns PC into undercover surveillance zombie http://www.theregist[...] 2008-10-08
[55] 웹사이트 Web Surfers Face Dangerous New Threat: 'Clickjacking' http://news.yahoo.co[...] newsfactor.com 2008-10-08
[56] 웹사이트 Business Center: Clickjacking Vulnerability to Be Revealed Next Month http://www.pcworld.c[...] 2008-10-08
[57] 문서 You don't know (click)jack http://www.securityf[...] Robert Lemos 2008-10
[58] 문서 The Confused Deputy rides again! http://waterken.sour[...] Tyler Close 2008-10
[59] 웹사이트 Twitter's "Don't Click" prank, explained (dsandler.org) http://dsandler.org/[...] 2009-12-28
[60] 웹사이트 New Facebook clickjacking attack in the wild http://blog.kotowicz[...] 2009-12-29
[61] 뉴스 Facebook "clickjacking" spreads across site http://news.bbc.co.u[...] 2010-06-03
[62] 웹사이트 클릭ジャッキングってこうですか? わかりません http://hamachiya.com[...] 2009-03-03
[63] 웹사이트 Browser Security Handbook, Part 2, UI Redressing https://code.google.[...] Google Inc. 2008-12-29
[64] 웹사이트 NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! - faq - InformAction https://noscript.net[...] 2015-10-03
[65] 웹인용 At Adobe's request, hackers nix 'clickjacking' talk http://www.pcworld.i[...] PC World 2008-10-08
[66] 뉴스 Beware, clickjackers on the prowl http://infotech.indi[...] India Times 2008-10-08
[67] 웹인용 Net game turns PC into undercover surveillance zombie http://www.theregist[...] 2008-10-08
[68] 웹인용 Web Surfers Face Dangerous New Threat: 'Clickjacking' http://news.yahoo.co[...] newsfactor.com 2008-10-08
[69] 웹인용 Business Center: Clickjacking Vulnerability to Be Revealed Next Month http://www.pcworld.c[...] 2008-10-08
[70] 웹인용 Twitter's "Don't Click" prank, explained (dsandler.org) http://dsandler.org/[...] 2009-12-28
[71] 웹인용 New Facebook clickjacking attack in the wild http://blog.kotowicz[...] 2009-12-21
[72] 뉴스 Facebook "clickjacking" spreads across site http://news.bbc.co.u[...] 2010-06-03
[73] 웹인용 The Clickjacking meets XSS: a state of art http://www.exploit-d[...] Exploit DB 2008-12-26
[74] 웹인용 Exploiting the unexploitable XSS with clickjacking http://blog.kotowicz[...]
[75] 웹인용 Facebook Work - "Likejacking" http://www.sophos.co[...] Sophos 2010-05-31
[76] 웹인용 Password Managers: Attacks and Defenses https://www.usenix.o[...]
[77] 웹인용 Clickjacking and GuardedID ha.ckers.org web application security lab http://ha.ckers.org/[...] 2009-02-04
[78] 웹인용 The Multi-Principal OS Construction of the Gazelle Web Browser http://research.micr[...] 18th Usenix Security Symposium, Montreal, Canada 2009-08
[79] 웹인용 Browser Security Handbook, Part 2, UI Redressing http://code.google.c[...] Google Inc. 2008-12-10
[80] 웹인용 Hey IE8, I Can Has Some Clickjacking Protection http://hackademix.ne[...] hackademix.net 2008-10-27
[81] 웹인용 IE8 Security Part VII: ClickJacking Defenses http://blogs.msdn.co[...] 2009-01-27
[82] 웹인용 Combating ClickJacking With X-Frame-Options http://blogs.msdn.co[...] 2010-03-30
[83] 웹인용 Apple Safari jumbo patch: 50+ vulnerabilities fixed http://blogs.zdnet.c[...] 2009-06-08
[84] 웹사이트 The X-Frame-Options response header — MDC https://developer.mo[...] 2010-10-07
[85] 웹인용 Security in Depth: New Security Features http://blog.chromium[...] 2010-01-26
[86] 웹인용 Web specifications support in Opera Presto 2.6 http://www.opera.com[...] 2010-10-12
[87] 웹인용 Content Security Policy Level 2 http://www.w3.org/TR[...] 2014-07-02


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com