비밀번호 관리자는 비밀번호와 민감한 정보를 보호하도록 설계되었지만, 악용될 경우 공격자가 이 정보에 접근할 수 있습니다.새롭게 발견된 DOM 기반 클릭재킹 기법은 일부 비밀번호 관리자를 속여 악성 양식에 자격 증명을 자동 입력하도록 할 수 있습니다.아래에서는 이 공격이 어떻게 작동하는지, 그리고 어떻게 방어를 강화할 수 있는지 자세히 살펴보겠습니다.
비밀번호 관리자의 취약성 이해
최근 발견된 사실은 문서 객체 모델(DOM) 취약점을 악용하여 클릭재킹의 변형을 촉진하고, 악의적인 공격자가 비밀번호 관리자의 자동 완성 기능을 은밀하게 작동시킬 수 있다는 점을 보여줍니다.이는 비밀번호, TOTP/2FA 코드, 신용카드 정보와 같은 민감한 데이터의 유출로 이어질 수 있습니다.이 공격의 메커니즘은 다음과 같습니다.
- 사용자는 공격자가 제어하는 웹 페이지에 접속하게 되는데, 여기에는 예를 들어 쿠키 동의 배너나 팝업 닫기 버튼 등 겉보기에 무해한 클릭 가능 요소가 표시됩니다.
- 공격자는 DOM 가시성 트릭을 활용해 합법적인 클릭 가능 요소 위에 보이지 않는 양식을 배치합니다
opacity:0. - 클릭하면 사용자의 비밀번호 관리자가 저장된 자격 증명으로 숨겨진 양식을 자동으로 채워 사이버 범죄자가 해당 자격 증명을 캡처할 수 있게 됩니다.
이러한 모든 작업은 사용자가 자신의 정보가 유출되었다는 사실을 인지하지 못하는 사이에 조용히 진행됩니다.최근 한 연구에서는 주요 비밀번호 관리자 11곳을 평가한 결과, 자동 완성 기능을 갖춘 대부분의 비밀번호 관리자가 취약한 것으로 나타났습니다.이러한 결과에 따라 여러 비밀번호 관리자가 자동 완성 시 확인 메시지를 표시하는 업데이트를 출시했지만, 여전히 많은 비밀번호 관리자가 위험에 노출되어 있습니다.
하지만 이러한 패치의 대부분은 브라우저의 웹페이지 렌더링 프로세스에 뿌리를 둔 근본적인 문제를 해결하지 못하는 임시방편에 불과합니다.1Password에서 강조했듯이, “핵심 문제는 브라우저가 웹페이지를 렌더링하는 방식에 있습니다.브라우저 확장 프로그램만으로는 완벽한 기술적 해결책을 제공할 수 없다고 생각합니다.”
클릭재킹 공격과 관련된 위험을 완화하려면 비밀번호 관리자 확장 프로그램을 최신 상태로 유지하는 것 외에도 다음과 같은 모범 사례를 고려하세요.
비밀번호 관리자에서 자동 채우기 비활성화
자동 완성은 이러한 공격에서 주로 악용되는 기능이므로, 이 기능을 끄면 보안을 크게 강화할 수 있습니다.필드를 자동으로 채우는 대신, 필요할 때 지정된 버튼을 클릭하여 수동으로 입력해야 합니다.
자동 완성을 비활성화하려면 비밀번호 관리자 확장 프로그램 설정으로 이동하여 ‘자동 완성 및 저장’ 섹션 아래에 있는 토글을 찾으세요.자동 입력을 방지하려면 포커스 시 자동 완성을 비활성화하세요.
클릭 또는 사이트별 액세스를 위한 확장 프로그램 구성
대부분의 브라우저에서는 확장 프로그램을 특정 웹사이트에서만 활성화하거나 확장 프로그램 아이콘을 통해 수동으로 활성화할 수 있도록 설정할 수 있습니다.이러한 매개변수를 설정하면 일반적인 브라우징 환경에서 원치 않는 자동 완성 동작을 효과적으로 방지할 수 있습니다.
브라우저의 확장 프로그램 페이지로 이동한 다음 비밀번호 관리자 세부 정보에 액세스하세요.’ 사이트 액세스’ 섹션을 찾으세요.일반적으로 기본적으로 ‘모든 사이트에서’ 로 설정되어 있습니다.‘클릭 시 ‘로 변경 하거나 원하는 특정 사이트를 지정하세요.‘클릭 시’를 선택하면 아이콘을 클릭할 때만 활성화되고, ‘특정 사이트에서’ 를 선택하면 미리 정의된 웹사이트에서만 활성화됩니다.
브라우저 확장 프로그램 대신 데스크톱 또는 모바일 앱을 선택하세요
클릭재킹 공격은 주로 브라우저 확장 프로그램을 대상으로 하므로, 비밀번호 관리자의 기본 데스크톱 또는 모바일 애플리케이션을 활용하면 취약성을 줄일 수 있습니다.이러한 애플리케이션은 일반적으로 직관적인 검색 및 복사 옵션을 제공하여 수동 입력 프로세스를 간소화합니다.
로그인 페이지에 접속할 때 비밀번호 관리자 앱에서 자격 증명을 검색하고 복사 기능을 사용하면 쉽게 입력할 수 있습니다.
스크립트 차단 확장 프로그램 활용
많은 클릭재킹 공격이 웹페이지에서 실행되는 스크립트에 크게 의존하기 때문에 스크립트 차단기가 효과적인 방어선이 됩니다.자바스크립트를 차단하면 이러한 공격을 차단할 수 있지만, 최적의 보안을 위해 신뢰할 수 없는 도메인의 모든 스크립트를 차단하는 더 광범위한 접근 방식을 권장합니다.
NoScript는 이러한 요구를 충족하는 강력한 확장 프로그램으로 Chrome 과 Firefox 에서 모두 사용할 수 있습니다. JavaScript를 포함한 다양한 활성 스크립트를 자동으로 차단하여 신뢰할 수 있는 사이트에서 스크립트를 선택적으로 활성화할 수 있습니다.
보너스 팁: 계정 보안 강화
자격 증명 도용을 방지하려면 추가적인 보안 조치를 구현하는 것이 중요합니다.2단계 인증(2FA)을 강력히 권장하지만, SMS 인증 외에도 강력한 2FA 방식을 사용해야 합니다. SMS 인증은 종종 보안에 취약하기 때문입니다. TOTP(Two-Factor Authentication)를 사용하는 것이 좋지만, 인증 앱이 다른 기기에 설치되어 있는지 확인하십시오.또한, 더욱 강력한 보안을 위해 패스키 또는 하드웨어 보안 키를 사용하는 것도 고려해 보세요.
잠재적인 취약점을 최소화하려면 자동 로그인 솔루션에 과도하게 의존하지 마십시오.추가 단계가 필요할 수 있지만, 이러한 작은 불편함만으로도 보안이 크게 강화됩니다.특히 비밀번호 관리자에 민감한 정보를 많이 저장하고 있다면 더욱 그렇습니다.
답글 남기기