인터넷익스플로러(IE) 창에서 마우스를 클릭해 비밀번호나 신용카드 번호를 입력하는 경우에도 정보가 유출될 수 있는 것으로 나타났다. 키보드 입력 내용을 가로 채는 해킹수법인 '키로깅'을 방지하기 위해 마련된 이 기술도 안전하지 않다는 것이다. 이를 발견한 회사는 두 달전에 마이크로소프트(MS)에 이를 통보했으나 아직 패치는 이뤄지지 않았다.
최근 씨넷, 더레지스터 등 외신은 스파이더.io(Spider.io)'라는 보안회사가 IE 사용시 웹사이트의 광고를 클릭해 결제할 때 필요한 신용정보를 마우스 커서의 움직임만으로 알아내는 보안취약점이 발견됐다고 보도했다. 이 취약점을 이용하면 심지어 윈도 운영체제(OS)의 바탕화면으로 가거나 인터넷 창을 최소화해도 움직임을 추적할 수 있다고 이 회사는 덧붙였다.
주로 게임계정이나 금융정보 탈취를 목적으로 사용되는 키로깅은 사용자가 키보드 자판으로 입력한 모든 내용을 기록해 해커에게 전달하는 해킹수법이다. 이를 방지하기 위해 일부 게임 및 금융 사이트는 인터넷 화면에 숫자와 문자로 구성된 가상의 키패드를 띄우고 마우스를 클릭해 비밀번호나 기타 개인정보 등을 입력한다.
스파이더.io가 발견한 취약점은 이 같은 방식을 무력화시킨다. 마우스 커서의 움직임을 추적하는 방법으로 12자리의 신용카드 번호나 휴대폰 번호, 사용자 ID, 비밀번호 등을 알아내는데 24분53초가 걸린 것으로 나타났다. 이들 웹사이트에 키로깅 방지용 프로그램이 설치돼 있다고 하더라도 마우스 커서의 움직임을 알아내는 방법에는 취약할 수밖에 없다는 것이다.
더 큰 문제는 키로깅과 달리 포르노 사이트나 파일공유 사이트 뿐만 아니라 광고링크를 사용하는 모든 웹페이지가 공격 대상이 된다는 점이다. 유튜브는 물론 뉴욕타임스 등도 모두 마우스 추적을 이용한 개인정보 유출 대상에 포함될 수 있다고 이 회사는 지적했다.
실제로 최소 2곳 이상의 인터넷 광고 분석회사가 이 취약점을 이용해 사용자가 인터넷에서 무슨 내용을 자주 보는지를 알아냈다. 해커에게 활용될 경우 악의적인 개인정보유출 사례가 발생할 수 있다는 것이다.
이에 대해 MS측은 아직 패치를 내놓고 있지 않았다. 외신에 따르면 MS보안연구센터는 이러한 취약점을 알고 있으나 바로 관련 패치를 배포할 계획은 없으며 사용자들이 이를 인지하고, 주의해서 사용할 필요가 있다고 밝혔다.
외신들은 MS가 이러한 문제를 축소시키려한다고 밝혔다. MS의 IE담당 딘 하카모비치 부사장은 두 광고분석회사들 간의 경쟁상황에서 발생한 문제일 뿐이라고 지적했다. 아래 동영상에는 실제로 제 3자가 마우스 커서를 추적해 사용자가 입력한 전화번호를 알아내는 장면이 담겨있다.
관련기사
- 갤럭시S3 AP칩서 보안취약점 발견돼2012.12.19
- 시스코 인터넷전화, 도청 취약점 발견2012.12.19
- 제1금융권 노린 해킹 수법 '갈수록 지능화'2012.12.19
- “화웨이 라우터, 해킹 너무 쉽다”2012.12.19