인터넷을 오래 사용하셨던 분들은 대부분 피싱사이트의 존재와 위협을 알고 계실겁니다.

은행사이트 처럼 만들어놓았는데 보안카드 번호를 전부입력하라고 한다던가,
링크를 눌렀더니 naver.com가 아닌 never.com이 뜨면서 네이버 아이디 로그인 창을 보여준다던가 하는거요.

그때 순진하게 요구하는 정보를 입력하면 그 정보는 홀라당 털리게 되는거죠.
하지만 사용자들이 이에 대해서 어느정도 사전 정보가 있고 경각심을 갖고 있기 때문에 그런 위협으로 인한 피해가 크지는 않습니다.

이 글에서 소개할까 하는 탭 내빙(Tabnabbing) 공격도 위에서 설명한 피싱사이트와 유사한데요.
우리가 흔히 생각하는 보통의 경우는 링크를 클릭 했을 때 새 창이나 새 탭으로 피싱사이트가 뜨지요.

탭 내빙 공격의 다른 점은 새 창이나 새 탭을 띄우면서 동시에 링크가 포함되어있던 부모창의 문서를 피싱사이트로 바꿔치기한다는 점입니다.
자바스크립트에는 window.opener라는 속성이 있어서, 새 창으로 뜬 자식창이 부모창을 다른 문서로 바꿔치는게 아주 손쉽게 가능합니다.

예를 들어보겠습니다.

메일을 확인하러 네이버에 들어갑니다.
눈에 띄는 메일이 있어 클릭합니다.






아니 나도 이제 고수가 될 수 있다니!
두근 거리는 마음으로 클릭했더니 별볼일 없어 보이는 이상한 사이트가 뜹니다.
흥미가 떨어져서 페이지를 닫아버렸습니다.

그런데 페이지가 아래처럼 바뀌어있는겁니다.






얼핏보면 네이버 메일 페이지에서 로그인이 풀린 것 처럼 보입니다.
그런데 자세히 보시면 상단 주소가 naver가 아닌 never로 되어있는 것을 볼 수 있습니다.
피싱 사이트인거죠.

이 상태에서 '로그인이 풀렸나보네'라고 순진하게 아이디와 비번을 넣으면 여러분의 네이버 아이디는 털리게 되는겁니다.


다행히 이러한 Tab nabbing 공격은 웹사이트에서 조금 더 신경을 쓰면 피해를 방지하는게 가능합니다.
지메일이나 트위터같은 글로벌 서비스들은 각 링크에 대한 점검과정을 거쳐 위와 같은 탭 내빙 공격이 먹히지 않도록 처리를 해놓았습니다.
그런데 Daum, Naver에서는 아직 이 대비가 안되어있더군요.
이런 보안 이슈가 알려지면 시간이 지나면서 업체들도 관련된 보안 강화를 하리라고 예상합니다만, 그 전까지는 사용자 차원에서 먼저 주의를 할 필요가 있을 것 같습니다.