[외신] 클릭재킹, 클릭하는 순간 납치된다?

미(美) 국토안보부 산하 컴퓨터긴급대응팀(이하 US-CERT)은 최근 새로운 크로스 브라우저 익스플로이트 기술인 “클릭재킹(Clickjacking)”의 위협을 경고하고 나섰다.

클릭재킹(Clickjacking)이란 공격자가 사용자로 하여금 거의 알아차리지 못하게 하고 어떤 것을 클릭하도록 속이는 것이다.

예를 들어 사용자는 어떤 웹 페이지를 클릭하지만 실제로는 다른 어떤 페이지의 컨텐츠를 클릭하게 되는 것이다.

즉, 애플리케이션 보안 전문가들에 따르면 이 알려진 브라우저 공격 기술이 이전에 예상했던 것보다 훨씬 광대하게 연결되어, 공격자들은 이 기술을 이용해 그들이 선택한 모든 컨텐츠를 사용자들이 어쩔 수 없이 클릭하도록 할 수 있다는 것이다.

항공기 불법탈취 또는 납치를 의미하는 하이재킹(hijacking)와 비유된 URL 하이재킹, 세션 하이재킹 등이 지금까지 이슈가 된 적은 있으나 “클릭재킹”은 별달리 알려진 바가 없었다.

그러나 화이트햇 시큐리티(WhiteHat Security Inc)의 CTO 제레미아 그로스맨(Jeremiah Grossman)은 외신과의 인터뷰를 통해 “이 이슈는 오래 전부터 알려져 있었지만 그 잠재적인 영향에 비해 평가절하 되어왔던 것이 사실”이라고 지적했다.

한편, 최근 알려진 바에 따르면 이 취약점은 대부분의 웹 브라우저에 영향을 끼치며 브라우저 스크립팅을 비활성화하거나 플러그 인이 위험을 완화시켜줄 수 있을 뿐, 어떠한 픽스도 효과가 없는 것으로 알려졌다.

또한 파이어폭스 이용자들에게는 추가적인 대응 방안으로 “노스크립트 플러그인”을 사용하는 것이 권장되고 있으며 디폴트로 아이프레임 비활성화를 설정하는 것도 도움이 된다고 US-CERT는 덧붙였다.

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)