인터넷은 신뢰를 기반으로 합니다. 웹 사용자가 사이트를 방문할 때, 클릭하는 버튼이 표시된 대로 작동할 것이라고 생각합니다. 그러나 사이버 범죄자들은 이러한 신뢰를 악용하는 방법을 끊임없이 개발해 왔습니다. 그러한 기만적인 방법 중 하나가 클릭재킹 공격.
클릭재킹은 공격자가 사용자를 속여 사용자가 클릭하려던 것과는 다른 것을 클릭하게 만드는 행위입니다.
해커는 정상적인 웹페이지 위에 투명한 레이어나 보이지 않는 iframe을 덧씌워 가짜 버튼이나 무해한 링크를 클릭하는 행위를 가로챌 수 있습니다. 이는 악성코드, 자금 이체, 또는 자신도 모르게 소셜 미디어 페이지에 '좋아요'를 누르는 등의 심각한 결과를 초래할 수 있습니다.
웹사이트 소유자라면 이러한 위협을 이해하는 것이 매우 중요합니다. 이 가이드에서는 UI 리드레싱 기법의 작동 방식, 취약점 탐지, 그리고 X-Frame-Options 헤더와 콘텐츠 보안 정책(CSP)을 사용하여 WordPress 사이트를 보호하는 구체적인 단계를 다룹니다.
클릭재킹 공격 이해하기: UI 개선의 위험성
"클릭재킹"이라는 용어는 "클릭"과 "하이재킹"을 합성한 단어입니다. 보안 분야에서는 이를 공식적으로 UI 리드레싱 공격이라고 부릅니다.
이 이름은 공격 메커니즘을 완벽하게 설명합니다. 공격자는 사용자 인터페이스(UI)를 실제 공격 대상 웹사이트를 숨깁니다.
일반적인 클릭재킹 공격에서 공격자는 악성 페이지를 생성합니다. 이 악성 페이지는 iframe 내에 특정 페이지(일반적으로 은행 로그인 페이지나 설정 패널과 같은 민감한 페이지)를 로드합니다.
공격자는 iframe을 완전히 투명하게 설정합니다. 그런 다음 비디오 플레이어나 무료 경품 응모 안내와 같은 보이는 콘텐츠를 투명한 프레임 바로 아래 또는 위에 배치합니다.
사용자는 자신이 "플레이" 버튼이나 "경품 받기" 링크라고 생각하는 것을 클릭합니다. 하지만 실제로는 다른 곳에서 로드된 보이지 않는 페이지를 클릭하는 것입니다.
사용자의 컴퓨터와 브라우저에 해당 사이트의 세션 쿠키가 해당 작업은 즉시 인증되고 처리됩니다. 사용자는 자신이 방금 위험한 작업을 수행했다는 사실을 전혀 알지 못합니다.
이 공격은 웹의 프레임 기능을 악용합니다. 프레임은 지도나 동영상을 삽입하는 데에는 적합하지만, 웹페이지에서 프레임 사용 권한을 명시적으로 제한하지 않을 경우 위험해집니다.
적절한 제어가 없다면 어떤 웹사이트든 UI 수정의 피해자가 될 수 있습니다.
더 읽어보기: 워드프레스 보안 실수로 인한 실제 비용
공격자가 나타나기 전에 워드프레스 사이트를 보호하세요
Seahawk의 전문 웹사이트 관리 서비스를 통해 클릭재킹 및 기타 위협으로부터 웹사이트를 보호하세요.
클릭재킹 공격은 보이지 않는 iframe과 오버레이를 이용하여 어떻게 작동할까요?
이 위험성을 완전히 이해하려면 기술적 실행 방식을 살펴봐야 합니다. 클릭재킹 공격의 핵심은 CSS의 불투명도(opacity) 속성을 이용하는 것입니다.
공격자는 미끼 사이트를 만듭니다. 이 사이트는 피해자를 유인하는 역할을 합니다. 공격자는 이 사이트에서 HTML을 사용하여 피해자의 웹 페이지를 iframe 안에 로드합니다.
코드는 겉보기에는 아무 문제 없어 보이지만, CSS를 살펴보면 상황이 다릅니다. 공격자는 iframe의 투명도를 0.0으로 설정하여 iframe을 보이지 않게 만듭니다.
프레임 안에 콘텐츠가 실제로 존재하지만 사용자는 볼 수 없습니다. 공격자는 이 보이지 않는 레이어를 미끼 사이트의 보이는 버튼 위에 정확히 배치합니다.
예를 들어, 공격자가 당신의 블로그를 삭제하도록 강요한다고 가정해 보세요. 공격자는 보이지 않는 iframe에 당신 블로그의 "계정 삭제" 페이지를 로드합니다. 그리고 악성 사이트에서 보이는 "선물 받기" 버튼 바로 위에 보이지 않는 "삭제" 버튼을 배치합니다.
사용자가 "선물 받기" 버튼을 클릭하면 클릭 이벤트가 보이는 요소들을 통과하여 보이지 않는 프레임의 최상위 창에 도달합니다. 브라우저는 이를 "삭제" 버튼을 클릭한 것으로 인식합니다. 사용자가 같은 브라우저에 로그인되어 있을 가능성이 높으므로, 사용자는 인지하지 못한 채 명령이 즉시 실행됩니다.
이 방법은 공격자가 CSRF(교차 사이트 요청 위조) 토큰을 우회할 수 있도록 하는데, 브라우저가 마치 사용자가 실제 페이지에서 버튼을 클릭한 것처럼 요청을 보내기 때문입니다.
추가 정보: 웹사이트를 효과적으로 보호하기 위해 맬웨어 방지 도구를 사용하는 방법
클릭재킹 공격의 주요 유형 및 일반적인 변형
가장 흔한 방법은 기본 오버레이 방식이지만, 특정 동작이나 브라우저 취약점을 악용하도록 설계된 다양한 클릭재킹 변형이 존재합니다.
좋아요 탈취: 소셜 미디어 상호작용 악용
대상으로 하는 클릭재킹의 특정 형태입니다 소셜 미디어 . 공격자는 사용자의 동의 없이 특정 페이지에 "좋아요"를 누르거나 "공유"하도록 유도하는 것을 목표로 합니다.
이 시나리오에서 보이지 않는 iframe에는 페이스북 "좋아요" 버튼이나 트위터 "팔로우" 버튼이 포함되어 있습니다. 공격자는 이 투명한 레이어를 악성 페이지의 동영상이나 이미지 위에 배치합니다.
사용자가 동영상 재생 버튼을 클릭하는 순간, 의도치 않게 공격자의 페이지에 '좋아요'를 누르게 됩니다. 이는 악성 사이트의 사회적 신뢰도를 높이고 스팸이나 사기성 콘텐츠가 사용자의 친구들에게 확산되는 것을 용이하게 합니다.
중첩 클릭재킹 및 X-프레임 옵션 취약점
중첩 클릭재킹은 프레임 버스팅 스크립트를 사용하려 하지만 제대로 구현하지 못한 웹 페이지를 대상으로 합니다. 일부 구형 브라우저나 특정 설정에서는 공격자가 이러한 스크립트를 무력화할 수 있습니다.
이 변형 공격에서 공격자는 대상 iframe을 두 개의 서로 다른 프레임 안에 중첩시킵니다. 브라우저가 창 위치와 탐색을 처리하는 방식을 조작함으로써 공격자는 정상적인 사이트가 프레임 밖으로 나가지 못하도록 막습니다.
이는 클라이언트 측 스크립트에만 의존하는 것이 최선의 방법이 아닌 이유를 보여줍니다. 강력한 서버 측 헤더가 필수적입니다.
추가 정보: 워드프레스 웹사이트에 대한 무차별 대입 공격 방지
커서재킹, 마우스재킹 및 기타 기만적인 기술
커서재킹은 매우 교묘한 변형 공격입니다. 공격자는 실제 마우스 커서를 가짜 사용자 지정 커서로 교체합니다. CSS와 JavaScript를 사용하여 실제 커서와 가짜 커서 사이의 간격을 조정합니다.
사용자는 마우스 커서가 안전한 링크 위에 있다고 인식합니다. 그러나 실제 커서(보이지 않거나 위치가 어긋나 있을 수 있음)는 악성 요소 위에 있습니다. 사용자가 클릭하면 보이는 가짜 커서 위치가 아닌 실제 커서 위치에서 클릭이 발생합니다.
이와 유사하게, 다른 기법으로는 보이지 않는 프레임을 빠르게 움직여 마우스를 추적하는 방식(MouseJack)이 있으며, 이를 통해 사용자가 마우스를 어디로 움직이든 악성 버튼이 항상 커서 아래에 있도록 합니다.
자세히 알아보기: 워드프레스의 가상 패칭: 작동 방식 및 중요성
웹페이지에서 클릭재킹 취약점을 탐지하는 방법은 무엇일까요?
클릭재킹을 방지하려면 먼저 웹사이트에 취약점이 있는지 확인해야 합니다. 다행히 이러한 취약점을 확인하는 것은 간단합니다.
가장 기본적인 확인 사항은 웹 페이지가 다른 출처의 iframe 내에서 로드될 수 있는지 여부를 확인하는 것입니다. 이를 위해 로컬 컴퓨터에 간단한 HTML 파일을 생성하면 됩니다
<html> <body> <iframe src="https://yourwebsite.com" width="500" height="500"></iframe> </body> </html>
크롬이나 파이어폭스와 같은 최신 브라우저에서 이 파일을 열어보세요. 만약 웹사이트가 상자 안에서 정상적으로 로드된다면 클릭재킹 공격에 취약한 것입니다.
보안 사이트는 접속을 거부하거나 브라우저가 프레임 콘텐츠를 차단했음을 나타내는 빈 화면을 표시해야 합니다.
온라인 보안 스캐너나 침투 테스트용 브라우저 확장 프로그램을 사용할 수도 있습니다. 이러한 도구는 사이트의 HTTP 응답 헤더를 분석합니다.
이 도구는 특히 X-Frame-Options 헤더 또는 Content Security Policy 헤더가 없는지 확인합니다. 이러한 헤더가 누락된 경우 해당 도구는 사이트를 고위험 사이트로 표시합니다.
서버 측 방지: X-Frame-Options를 사용하여 프레임 제한하기
클릭재킹에 대한 가장 전통적이고 널리 사용되는 방어책은 X-Frame-Options(XFO) 헤더입니다. 이는 웹 서버가 브라우저에 보내는 응답 헤더로, 페이지가 특정 프레임에 렌더링될 수 있는지 여부를 알려줍니다.<frame> ,<iframe> ,<embed> , 또는<object> .
브라우저가 페이지를 로드할 때 이 헤더를 확인합니다. 정책을 위반하는 경우 브라우저는 콘텐츠를 표시하지 않음으로써 사용자의 안전을 보장합니다.
X-Frame-Options 헤더와 함께 일반적으로 사용되는 값은 세 가지입니다
- 거부: 이는 가장 엄격한 설정입니다. 어떤 도메인도 요청된 페이지를 프레임에 포함시키지 못하도록 차단합니다. 페이지 자체가 프레임에 포함되려고 시도하더라도 실패합니다. 임베드할 필요가 전혀 없는 민감한 페이지에 적합합니다.
- SAMEORIGIN: 이 옵션을 사용하면 동일한 출처(동일한 도메인, 프로토콜 및 포트)의 페이지에서만 페이지가 프레임에 표시될 수 있습니다. 이는 외부 공격을 차단하면서 자체 콘텐츠를 삽입할 수 있으므로 WordPress 사이트를 보호하는 가장 일반적인 방법입니다.
- ALLOW-FROM uri: 이 지시어는 더 이상 사용되지 않으며 특정 URI에서 프레임을 허용하기 위한 목적으로 만들어졌습니다. 그러나 많은 최신 브라우저에서 지원되지 않으므로 일반적으로 새로운 표준을 사용하는 것이 좋습니다.
X-Frame-Options를 SAMEORIGIN으로 설정하는 것만으로도 대부분의 클릭재킹 공격을 막을 수 있습니다. 이렇게 하면 공격자가 미끼 사이트에 사용자 로그인 페이지를 로드할 수 없게 됩니다.
하지만 XFO에는 한계가 있습니다. 사실상 하나의 도메인(동일한 도메인)만 허용하거나 아예 허용하지 않습니다. 여러 특정 파트너가 콘텐츠를 프레임에 포함하도록 설정해야 하는 경우 세부적인 제어가 부족합니다. 이를 위해서는 보다 현대적인 솔루션이 필요합니다.
더 알아보기: 워드프레스에서 비밀번호로 보호된 페이지를 만드는 방법
고급 보호: 콘텐츠 보안 정책(CSP) 및 프레임 상위 식별자
X-Frame-Options도 효과적이지만, 클릭재킹 방어의 미래는 콘텐츠 보안 정책(CSP)에 달려 있습니다. CSP는 크로스 사이트 스크립팅(XSS) 및 데이터 주입을
클릭재킹을 방지하기 위해 `frame-ancestors` 지시문을 사용합니다. 이 지시문은 페이지를 포함할 수 있는 상위 프레임을 지정합니다.
세부적인 제어를 위한 프레임 상위자 지시문 구현
`frame-ancestors` 지시어는 `X-Frame-Options`보다 훨씬 더 유연합니다. 이 지시어를 사용하면 콘텐츠를 프레임에 표시할 수 있는 도메인 목록을 정의할 수 있습니다.
예를 들어, 콘텐츠 보안 정책(CSP) 헤더는 다음과 같을 수 있습니다
Content-Security-Policy: frame-ancestors 'self' https://trusted-partner.com;
이 예시에서는 다음과 같습니다
- 'self'는 SAMEORIGIN XFO 지시문처럼 작동하여 동일한 도메인이 콘텐츠를 프레임에 포함하도록 합니다.
- https://trusted-partner.com은 특정 외부 사이트에서 콘텐츠를 프레임에 포함할 수 있도록 허용합니다.
허용할 수도 있지만 HTTPS , 엄격한 목록 지정 방식이 더 안전합니다. 이러한 세부적인 제어는 사이트 간 통합에 의존하는 기업 웹사이트에 매우 중요합니다.
CSP 프레임 앤세스터가 프레임 버스팅 스크립트보다 우수한 이유는 무엇일까요?
과거에는 개발자들이 자바스크립트를 프레임 버스팅 코드를 사용했습니다. 이러한 스크립트는 클라이언트 측에서 실행되어 최상위 창의 위치와 현재 창의 위치가 일치하는지 확인합니다. 일치하지 않으면 프레임을 벗어나려고 시도합니다.
공격자들은 이러한 스크립트를 무력화하는 방법을 빠르게 찾아냈습니다. 인터넷 익스플로러(구 버전)와 같은 브라우저나 iframe의 HTML5 샌드박스 속성과 같은 기능은 프레임 파괴 스크립트의 실행을 차단하여 방어책을 무용지물로 만들었습니다.
프레임 상위 요소와 X-Frame-Options는 서버 측 컨트롤입니다. 공격자는 브라우저가 콘텐츠를 렌더링하기 전에 해당 규칙을 적용하기 때문에 이를 비활성화할 수 없습니다. 브라우저는 응답 헤더를 읽고 악성 페이지 요소의 표시를 거부합니다.
현재로서는 CSP 프레임 어센서를 사용하는 것이 가장 좋은 방법입니다. 최신 브라우저에서 표준화되어 있기 때문입니다. X-Frame-Options는 구형 브라우저에서 여전히 유용하지만, 두 가지 모두를 지원하는 브라우저에서는 프레임 어센서가 우선시됩니다.
단계별 가이드: 클릭재킹으로부터 워드프레스 사이트를 보호하는 방법
워드프레스 사이트를 안전하게 보호하려면 올바른 헤더를 추가해야 합니다. 이러한 변경 사항을 적용하는 데 개발자일 필요는 없지만, 서버 파일을 수정하기 전에 항상 사이트를 백업하는 것이 좋습니다.
1단계: .htaccess 또는 functions.php 파일에서 헤더 설정
WordPress 사이트가 Apache 웹 서버에서 실행되는 경우 루트 디렉터리에 있는 .htaccess 파일을 편집할 수 있습니다.
X-Frame-Options 헤더를 구현하려면 다음 줄을 추가하십시오
<IfModule mod_headers.c>헤더에는 항상 X-Frame-Options SAMEORIGIN이 추가됩니다.</IfModule>
프레임 어센스터를 사용하여 콘텐츠 보안 정책을 구현하려면 다음과 같이 하십시오
<IfModule mod_headers.c>헤더에는 항상 Content-Security-Policy "frame-ancestors 'self';"가 추가됩니다.</IfModule>
이 설정을 통해 본인 사이트만 페이지를 프레임에 표시할 수 있습니다. 파트너가 페이지를 표시하도록 허용하려면 'self' 뒤에 파트너의 URL을 추가하기만 하면 됩니다.
또는 활성화된 테마의 WordPress functions.php 파일을 통해 헤더를 추가할 수도 있습니다. 이 방법은Apache 또는 NginxPHP가 헤더를 처리하는 한
function add_security_headers() { header('X-Frame-Options: SAMEORIGIN'); header("Content-Security-Policy: frame-ancestors 'self';"); } add_action('send_headers', 'add_security_headers');
이 코드는 워드프레스 헤더 생성 프로세스에 연결되어 제공되는 모든 웹 페이지에 보호 지시문을 삽입합니다.
2단계: 클라이언트 측 방어를 위해 WordPress 보안 플러그인 활용
코드 수정이 너무 위험하게 느껴진다면 워드프레스 보안 플러그인을 사용할 수 있습니다. 많은 종합 보안 도구들이 이러한 헤더를 자동으로 추가해 줍니다.
- 올인원 보안(AIOS): 이 플러그인은 iframe 보호를 위한 특정 설정을 제공합니다. "잘못된 쿼리 차단"을 활성화하고 프레임 옵션 관리를 포함하는 특정 방화벽 규칙을 설정할 수 있습니다.
- Headers Security Advanced & HSTS WP: 이 전용 플러그인을 사용하면 코드 수정 없이 특정 HTTP 헤더를 구성할 수 있습니다. 드롭다운 메뉴에서 X-Frame-Options를 선택하고 SAMEORIGIN으로 설정할 수 있습니다.
플러그인은 편리하지만, 응답 헤더를 올바르게 구성하는지 확인해야 합니다.
만 추가할 수 있는데 메타 태그, 이는 프레임 어세스터(frame-ancestor)에는 효과적이지 않습니다(메타 태그를 통한 CSP는 프레임 어세스터를 지원하지 않습니다). 항상 온라인 헤더 검사기를 사용하여 결과를 확인하십시오.
결론
클릭재킹 공격은 소프트웨어 버그가 아닌 사용자의 시각적 인식을 악용하기 때문에 지속적인 위협이 됩니다. 브라우저가 iframe을 지원하는 한, 공격자들은 UI 변경을 시도할 것입니다.
웹사이트 소유자에게 있어 이러한 취약점을 무시하는 것은 사용자 안전과 사이트 평판을 위태롭게 하는 행위입니다. 사이트의 버튼 때문에 악성코드를 다운로드하거나 금전적 손실을 입는 사용자는 브랜드에 대한 신뢰를 잃게 될 것입니다.
해결책은 다층 방어입니다.
- 감사: 웹페이지를 정기적으로 스캔하여 프레임에 넣을 수 있는지 확인하십시오.
- XFO 구현: 레거시 브라우저 및 CSP를 완벽하게 지원하지 않는 다른 브라우저 사용자를 보호하기 위해 X-Frame-Options 헤더를 SAMEORIGIN으로 설정하여 사용합니다.
- CSP 구현: 최신 브라우저에서 강력하고 세분화된 제어를 위해 콘텐츠 보안 정책 프레임 어센스터 지시문을 채택하십시오.
- 모니터링: 테마 또는 서버 업데이트 후에도 헤더가 활성 상태로 유지되도록 보안 플러그인을 사용하세요.
콘텐츠 구성 방식을 제어함으로써 해커들이 의존하는 보이지 않는 보안 장벽을 효과적으로 무너뜨릴 수 있습니다. 사용자가 클릭했을 때 의도한 작업을 수행하도록 보장하여 웹에서 가장 교묘한 공격의 희생양이 되는 것을 방지할 수 있습니다.
클릭재킹 공격 관련 FAQ
클릭재킹 공격에서 가장 흔하게 사용되는 방법은 무엇입니까?
가장 흔한 공격 방식은 정상적인 웹페이지 위에 숨겨진 레이어를 삽입하는 것입니다. 공격자는 사용자가 볼 수 없는 요소를 클릭하도록 유도하는 보이지 않는 iframe을 생성합니다. 이러한 숨겨진 레이어를 통해 공격자는 사용자가 인지하지 못하는 사이에 특정 작업을 실행할 수 있으며, 잠재적으로 민감한 기능에 접근할 수 있게 됩니다.
동일 출처 X 프레임 옵션은 클릭재킹 방지에 어떻게 도움이 되나요?
Same-origin X-Frame-Options는 동일한 출처의 페이지에서만 페이지를 프레임에 포함할 수 있도록 하는 응답 헤더입니다. 이를 통해 외부 도메인이 악의적인 프레임 내에 사이트를 삽입하는 것을 방지하고 승인되지 않은 상호 작용을 차단할 수 있습니다.
콘텐츠 보안 정책에서 frame-ancestors 정책이란 무엇인가요?
프레임 상위 도메인 정책은 웹 페이지를 임베드할 수 있는 도메인을 정의합니다. 이는 콘텐츠 보안 정책(CSP)의 일부이며 기존 헤더보다 더 세밀한 제어를 제공합니다. 이 정책은 클릭재킹 공격을 방지하는 데 매우 효과적입니다.
클릭재킹 공격을 통해 공격자가 사용자 계정에 접근할 수 있을까요?
네, 클릭재킹은 공격자가 간접적으로 계정에 접근하는 데 도움이 될 수 있습니다. 공격자는 버튼과 동작을 위장하여 사용자가 모르는 사이에 설정을 변경하거나, 권한을 승인하거나, 양식을 제출하도록 유도할 수 있습니다.
워드프레스 웹사이트에서 클릭재킹을 방지하는 가장 좋은 방법은 무엇일까요?
클릭재킹을 방지하는 가장 효과적인 방법은 여러 방어 수단을 동시에 사용하는 것입니다. X-Frame-Options 응답 헤더를 설정하고, frame-ancestors 정책을 적용하며, WordPress 보안 플러그인을 활성화하십시오. 이러한 조치들을 함께 사용하면 공격의 근원을 차단할 수 있습니다.
