MS, `쿠키재킹` 조심하세요

　마이크로소프트(MS) 익스플로러 브라우저의 허점이 또 발견됐다. 일명 ‘쿠키재킹(Cookiejacking)’으로 불리는 이 기술은 인터넷 브라우저를 의미하는 ‘쿠키(Cookie)’를 ‘납치(Jacking)’한다는 의미로, 페이스북이나 트위터 등 SNS 기반 페이지에 손쉽게 접근할 수 있다.

　이탈리아 보안연구소의 로사리오 바로타 소장은 “모든 웹사이트와 모든 쿠키에서 가능하다”며 “당신이 무엇을 상상하든 그 이상을 보게될 것”이라고 밝혔다.

　해커는 인터넷 브라우저에 저장된 데이터파일에 접근해 로그인 이름과 패스워드를 알아낸다. 해커가 그 쿠키를 갖기만 하면 다시 똑같은 사이트에 접근할 수 있다. 인터넷 익스플로러 9를 포함한 모든 윈도 버전에서 가능하다.

　한 가지 조건이 있다. 해커가 쿠키재킹을 시도하려면 희생자가 자신의 컴퓨터에 드래그앤드롭(Drag&drop)을 해야한다. 어려운 시도 같지만 바로타 소장은 쉬운 작업이라고 말한다. 그는 “페이스북에 퍼즐을 만든다”며 “노출이 있는 여성 사진 위에 퍼즐 블록을 놓으면 사람들은 드래그앤드롭을 한다”고 말했다. 그는 3일 동안 이 실험을 한 결과 80개가 넘는 쿠키가 자신의 서버에 들어왔다고 밝혔다.

　이에 MS 측은 “이런 조건에서는 해킹은 성공하기 힘들다”며 “우리가 전혀 고려하지 않는 수법 중 하나”라고 일축했다.

l

허정윤기자 jyhur@etnews.co.kr