새로운 클릭재킹 공격에서 비밀번호 관리자 데이터 유출

새로운 연구에서는 수백만 명의 비밀번호 관리자 사용자들이 “DOM 기반 확장 클릭재킹”이라는 위험한 브라우저 공격에 취약할 수 있다고 경고하고 있습니다.

이 연구 결과를 발표한 연구자는 이렇게 설명했습니다: “클릭재킹은 여전히 보안 위협이지만, 웹 어플리케이션에서 더욱 인기 있는 브라우저 확장 프로그램(비밀번호 관리자, 암호화폐 지갑 등)으로의 전환이 필요하다.”

이 공격은 사용자들이 가짜 요소들, 쿠키 배너와 캡차 팝업 등을 클릭하도록 속임으로써 작동하며, 한편으로는 보이지 않는 스크립트가 비밀리에 비밀번호 관리자의 자동입력 기능을 활성화합니다. 연구자들은 공격자들이 민감한 정보를 훔치기 위해 단 한 번의 클릭만이 필요했다고 설명하고 있습니다.

“공격자가 통제하는 웹사이트에서 어디든지 한 번 클릭하기만 하면 공격자들은 사용자들의 데이터(신용카드 정보, 개인정보, 로그인 인증 정보 포함 TOTP)를 훔칠 수 있습니다,”라고 보고서에는 기재되어 있습니다.

연구자는 1Password, Bitwarden, Dashlane, Keeper, LastPass, 그리고 iCloud Passwords를 포함한 11가지 인기 비밀번호 관리자들을 테스트했습니다. 그 결과는 놀랍도록 알람이 울렸습니다: “모두가 ‘DOM 기반 확장 클릭재킹’에 취약했습니다. 수천만 명의 사용자들이 위험에 처해질 수 있습니다 (~4000만 개의 활성화된 설치).”

테스트는 9개의 비밀번호 관리자 중 6개가 신용카드 정보를 노출시키는 것을 밝혔습니다. 또한, 열 개의 관리자 중 8개가 개인 정보를 유출했습니다. 더구나, 열 한 개 중 10개는 공격자들이 저장된 로그인 자격증명을 훔치는 것을 허용했습니다. 일부 경우에서는, 심지어 2단계 인증 코드와 패스키도 침해당할 수 있었습니다.

판매자들이 2025년 4월에 알림을 받았음에도 불구하고, 연구자들은 Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass, LogMeOnce 등 일부 업체들이 아직 이런 결함을 수정하지 않았다고 지적했습니다. 이는 약 3270만 명의 사용자들이 이러한 공격에 노출되어 있음을 의미하며, 이는 특히 우려스러운 상황입니다.

연구자들은 다음과 같이 결론을 내렸습니다: “설명된 기법은 일반적이며, 저는 이를 11개의 비밀번호 관리 도구에서만 테스트했습니다. DOM을 조작하는 다른 확장 프로그램들 (비밀번호 관리 도구, 암호화 지갑, 노트 등)도 아마 취약할 것입니다.”