캐나다 출신 유명 10대 가수인 저스틴 비버가 페이스북 클릭재킹 공격에 당하는 해프닝이 벌어졌다.
씨넷뉴스는 이번 사례는 사이버 공격자들의 오랜 공격수법인 '클릭재킹'을 이용한 것이라고 1일(현지시간) 보도했다. 최근 가장 인기를 얻고 있는 아이돌 스타인 저스틴 비버를 이용해, 다른 링크를 클릭하도록 페이스북 사용자들을 유도한다고 씨넷뉴스는 전했다.
공격자들은 페이스북 상태 업데이트나 담벼락에 I can't believe a GIRL did this because of Justin Bieber 라는 메시지를 올려 사용자들을 혼란시켰다. 그리고 가짜 유튜브 페이지로 접속하도록 했다.보안업체 M86 블로그에 따르면 메시지를 통해 가짜 유튜브로 접속하면 또 다른 메시지가 뜨게 된다. 비디오 창에는 16세 이상만 이 비디오를 보세요라는 메시지가 적혀있다.기사에 따르면 이번 공격에는 윈도 비디오 뒤에 아이프레임을 숨겨 어디에서든 클릭하면 '좋아요'를 클릭한 것처럼 링크를 걸어 계속해서 퍼져나가도록 하는 방법을 이용됐다. 아이프레임은 HTML 문서에 있는 글중 임의 위치에 또 다른 HTML문서를 보여주도록 하는 내부 프레임 태그를 뜻한다. 이미지태그로 그림파일을 문서에 포함시키는 것과 유사한 형태다.
씨넷뉴스에 따르면 현재 저스틴비버와 관련된 메시지를 통한 클릭재킹이 끊이지 않고 있다고 한다. 이번 공격이 문제가 되는 것은 이런 가짜 페이스북 대화상자가 자동차 보험관계 사이트로 링크되도록 사용자들을 유도해 사용자 개인정보를 빼낼 수 있기 때문이다.보안 업체 M86의 한 관계자는 2만번 이상 '좋아요'가 되기 전에 이 해킹방법을 중단하도록 했지만, 이를 이용한 다른 변형된 사기형태도 급속도로 퍼져나가고 있다고 지적했다. 예를 들면, 공격자들은 무료 아이패드, 사우스웨스트 에어라인 무료티켓, 유명배우 마일리 사이러스 비디오 링크 등을 웹사이트나 이메일 메시지에 게시되도록 해 '클릭재킹' 공격을 이용했다.
'클릭재킹'은 공격자가 사용자 모르게 어떤 클릭을 하도록 속여 어떤 웹페이지나 버튼을 클릭하지만, 실제로는 다른 페이지 콘텐츠를 누르도록 하는 것을 말한다. 웹브라우저 취약성을 이용한 공격 기법이다. 하지만 이 공격은 보안툴로는 막을 수 없어 심각한 문제란게 전문가들의 지적이다. 전문가들은 스크립트 기능 및 플러그인 기능 무효화하거나 아이프레임을 비활성화 하는 방법외에는 해결책이 없다는 것을 우려하고 있다고 씨넷뉴스는 전했다.
페이스북 관계자는 '클릭재킹' 공격이 브라우저 취약점을 이용하는 만큼 페이스복에서도 기술적으로 완벽히 방어할 수 없다며 이 공격에 영향을 받지 않기 위해 추가 보호기능을 마련하기 위해 노력하고 있다고 말했다.
주요 외신들은 파이어폭스 자바스크립트 방지기능 플로그인을 설치하면 '클릭재킹' 공격을 방어할 수 있을 것이라고 전했다.
전문가들은 '클릭재킹' 공격을 피하기 위해서 페이스북 사용자들이 친구가 게시글을 남겼다 하더라도 의심해 볼 필요가 있다고 강조했다. 이런 문제점 때문에 페이스북은 현재 자사 보안 페이지를 통해 '클릭재킹' 피해에 대해 안내하고 있다.■페이스북과 웹사이트의 '클릭재킹' 예방법
-안티피싱 블랙리스트를 최신 업데이트한다.
-사용중인 각 웹사이트 패스워드와 특정 로그인을 선택한다.
관련기사
- 페이스북 사생활 지키려면...2011.03.02
- 프라이버시의 힘… IT업계 뒤흔든다2011.03.02
- 애플처럼 하라고?…페이스북 보안 정책 논쟁2011.03.02
- 페이스북, 프라이버시 논란에 '움찔'2011.03.02
-페이스북 닷컴 도메인에서 합법적인 페이스북 페이지에 로그인하는지 체크한다.
-페이스북에서 어떤 경고 메시지 링크나 포스트, 추가 로그인을 요구하면 의심해라.