'클릭한 사람을 납치한다'는 의미의 클릭재킹(Click-jacking)이라고 부르는 사기가 페이스북 등 소셜네트워킹(SNS)사이트에서 회원들을 꼬드기며 확산일로에 있어 경보가 발령됐다.
피해자들의 SNS 계정에는 “치어리더들이 아우성이예요-꼭 보세요”라는 메시지가 붙어 있었는데 이 사이트 사진에는 치어리더들이 응원용 실뭉치를 들고 있는 모습으로 회원들을 꼬드겨 해당 사이트로 유혹하고 있었다.
이 사기는 일단 치어걸들의 모습을 찾아 사이트를 계속 파고 드는 회원들의 클릭을 빼돌려 그, 또는 그녀의 모든 사이트 친구들에게 당사자가 '치어리더가 아우성이예요'를 좋아하는 사이트로 삼고 있다고 전해 버린다. 졸지에 그, 또는 그녀는 경박한, 또는 취향이 이상한 사람으로 돼 버릴 수 있는 것이다.
또 이 방식으로 사기에 걸려든 사람이라면 다른 방식의 피싱이나 트로이목마에 걸려드는 등 더욱더 손쉽게 사이버범죄에 노출될 가능성도 배제할 수 없다. 씨넷은 11일(현지시간) 보안전문회사 소포스의 조사결과를 인용, 최근 페이스북에서 발견돼 이 사이트 회원들을 꼬드긴 “치어리더들이 아우성이예요(Cheerleaders Gone Wild)”라는 가짜 비디오사이트가 회원들을 피해자로 만들어 버렸다고 전했다. 보안전문가들이 이 공격을 알린 후 페이스북은 이 비디오를 이용한 클릭재킹 공격을 차단했다.
보도는 이 클릭재킹은 '브라우저 세션이 악성 코드에 의해 하이재킹 당할 때' 발생하며 페이스북, 트위터, 그리고 다른 사이트에서 그 피해사례가 발생했다고 전했다.
게다가 피해 당사자의 페이스북 계정에는 피해자 본인도 모르는 새에 그가 2개의 특정한 페이스북페이지를 가장 ‘좋아하는(likes)사용자'라고 표시해 버린다. 그리고 2개의 페이지는 다름아닌 ‘웹에서 가장 재미있는 비디오(Funniest Videos on the Web)’와 ‘매일매일 무료 벨소리(Free ringtones every day)’다.
이 클릭재킹이 여느 피싱 방식과 다른 점은 이 사이트를 따라 들어가면 ▲‘콘텐츠가 일부 사용자나 후원프로그램 사용자들에게는 부적절할 수 있다'는 경고는 물론 ▲'18세 이상임을 확인해야 한다'는 내용까지 버젓이 이어진다는 점이다.
게다가 이 클릭재킹은 사용자들에게 '스팸을 막기 위한 설계가 되어 있는 것처럼 가장하기 위해' 또다른 경고가 튀어 나오도록 되어 있을 정도로 교묘하다. 이 때 해당 사이트에서는 사용자에게 ▲1,2라고 쓰인 버튼을 누르고, 이후 별도의 명령에 따라 3번을 누르라고 요구하는 식이다.
일단 이러한 과정을 거쳐 사용자가 ‘제출(submit)’버튼을 클릭하게 되면 그의 계정은 ‘치어리더가 아우성이예요(Cheerleaders Gone Wild)페이지를 ’좋아하는(likes)'사용자로 등록돼 버린다.
이렇게 되면 이 메시지는 피해자의 계정에서 그, 또는 그녀의 모든 친구들이 볼수 있도록 뉴스피드로 전달돼 버리게 된다. 아무 생각없이 치어걸을 볼 생각에 따라가다가는 이른 바 '클릭재킹'을 당해 버리는 것이다.
그러나 보안회사 소포스의 그레이엄 크룰리는 “하지만 사용자들은 당연히 아무도 이러한 사실을 인지하지 못할 것이다. 왜냐면 그들은 지금까지 유튜브에서 젊은 치어리더들의 재롱만을 봤지 쇼킹한 누드들은 없었기 때문”이라고 블로그를 통해 말했다.
페이스북 대변인은 회사가 이 사기 공격사실을 알고 난 후 이 페이지를 폐쇄했으며 회원들에게 “비록 친구로부터 온 것일지라도 의심스런 링크에 연결하지 말라고 공지했다”고 전했다. 클릭재킹을 피하기 위한 보다 자세한 정보는 페이스북 보안 페이지의 'Threats(위협)‘탭에서 알 수 있다.
보도는 네티즌들이 이 사이트에 클릭하게 됐다면 먼저 웹사이트에서 로그아웃해야 하며 인터넷익스플로러(IE)사용자라면 자바스크립트 기능을 못쓰게 만드는 방식으로, 파이어폭스사용자라면 노스크립트(NoScript)-애드온을 사용해 보호조치를 취해야 한다고 보도는 전했다.
