더블클릭잭킹: 새로운 사이버 공격이 사용자 상호작용을 어떻게 표적으로 삼는가

사이버 보안 전문가 Pablos Yibelo가 오늘 더블 클릭 타이밍을 이용하여 사용자들이 웹사이트에서 민감한 작업을 수행하도록 속이는 웹 공격인 DoubleClickjacking을 발표했습니다.

파블로스 이벨로는 ‘더블클릭잭킹(DoubleClickjacking)’ 기법이 잘 알려진 “클릭잭킹” 기법을 확장한 것이라고 설명합니다. 이 공격은 사용자 인터페이스 상호작용을 조작하여 X-프레임-옵션 헤더와 SameSite 쿠키와 같은 보호 기능을 우회하며, 이로 인해 다양한 웹사이트가 영향을 받을 수 있습니다.

이벨로는 더블클릭잭킹이 더블 클릭 시퀀스의 두 클릭 사이의 타이밍을 악용하는 방식으로 작동한다고 설명합니다. 이 공격은 일반적으로 사용자가 새 창을 열거나 프롬프트를 표시하는 웹페이지와 상호작용함으로써 시작됩니다.

첫 번째 클릭은 새로 열린 창을 닫아, 원래의 브라우저 창에서 민감한 동작 페이지를 드러냅니다. 예를 들면 OAuth 인증 화면과 같은 것입니다. 그 다음 두 번째 클릭은 의도하지 않게 악의적인 동작을 승인하거나 무단 애플리케이션에 대한 접근 권한을 부여합니다.

이 방법은 “mousedown”과 “click” 이벤트 사이의 짧은 지연 시간을 활용하여 기존의 보안 조치를 우회합니다. 여기로 인한 영향은 상당히 크며, 공격자가 계정에 접근하거나 설정을 변경하거나, 권한 없는 거래를 진행하는 등의 행동을 할 수 있게 해준다고 Yibelo가 말하고 있습니다.

OAuth를 인증에 사용하는 많은 플랫폼들은 특히 취약합니다. 왜냐하면 공격자들이 이 방법을 악용하여 사용자 계정에 대한 광범위한 권한을 획득할 수 있기 때문입니다.

위험은 웹사이트를 넘어서, 브라우저 확장 기능과 모바일 애플리케이션에도 적용됩니다. 예를 들어, 사용자가 인지하지 못한 상태에서 암호화폐 지갑이나 VPN 설정이 조작될 수 있는 상황이 포함됩니다. 이는 Yibelo가 지적했습니다.

여기서 Yibelo는 Slack 계정 인수의 한 예를 제시합니다:

이 공격의 단순성—더블 클릭만 필요로 함—은 감지하고 막기 어렵게 만듭니다. 위험을 감소시키기 위해, Yibelo는 개발자들이 마우스 움직임이나 키보드 입력 같은 의도적인 사용자의 동작이 감지될 때까지 중요한 버튼을 비활성화하는 JavaScript 기반의 보호 조치를 구현할 수 있다고 말합니다.

Yibelo는 이 방법이 검증의 한 단계를 추가함으로써, 사용자의 의도적인 참여 없이 민감한 작업이 발생하지 않도록 보장한다고 말합니다. 시간이 지남에 따라, 브라우저 개발자들은 더 강력한 해결책을 채택할 수 있습니다, 예를 들어 더블 클릭 상호작용 중에 컨텍스트 전환을 방지하기 위해 특수한 HTTP 헤더를 도입하는 것과 같은 방법입니다.

DoubleClickjacking은 웹 보안에서 진화하는 도전 과제를 강조합니다. 사용자 상호작용 패턴의 사소한 부분을 악용함으로써, 보안 관행과 보호 장치에 대한 지속적인 업데이트의 필요성을 강조합니다.