"MS IE서 '쿠키하이재킹' 보안결점 발견"

[로스앤젤레스=이균성 특파원] 마이크로소프트(MS)의 웹 브라우저인 인터넷 익스플로러(IE)에서 해커가 쿠키(Cookie) 정보를 가로챌 수 있는 보안 결점이 발견됐다고 26일(현지시간) 씨넷, 로이터 등 미국 언론들이 보도했다.

쿠키는 웹사이트와 네티즌의 컴퓨터를 매개해주는 정보를 담고 있는 소량의 파일로, 개인 ID와 비밀번호, 방문한 사이트 등의 정보가 담겨 있으며, 웹사이트에 접속하는 사람의 컴퓨터 하드디스크에 저장된다.

이 결점을 발견한 이탈리아의 보안 연구원 로라리오 발로타는 "윈도의 IE 모든 버전에서 '쿠키하이재킹'으로 불리는 이 취약점이 발견됐다"며 "해커는 어떤 웹 사이트의 어떤 쿠키 정보도 가로챌 수 있다"고 밝혔다.

발로타는 그러나 "해커가 이 취약점을 이용하려면, 이용자가 어떤 파일에 대해 끌어놓기(drag and drop)를 하도록 사회공학적 해킹 방법을 써야 한다"고 말했다.

어떤 형태로든 사용자를 유인한 뒤 사용자가 아무 파일이나 드래그 앤 드롭을 하게 만들고 그 과정에서 쿠키 정보를 가로채야 한다는 의미다.

발로타는 자신의 페이스북 페이지에 드래그 앤 드롭 방식으로 여자의 옷을 벗기게 하는 게임을 만들어 올리고 이에 참여한 이용자의 쿠키를 통해 페이스북 승인 정보을 얻는 방법을 실험했다.

그 결과 3일도 안돼 80개 이상의 쿠키 정보가 발로타의 서버에 보내졌다. 그의 페이스북 친구는 단지 150명일 뿐이었다.

이에 대해 MS 측은 실제 세계에서는 큰 보안 위협이 아니라고 보고 있다.

MS 대변인 제리 브리얀트는 로이터에 "이용자가 반응을 해야하는 수준을 고려할 때 위험도가 높은 것은 아니라고 생각한다"고 말했다.

그는 "쿠키하이재킹을 당하기 위해서는 이용자가 먼저 악성 웹사이트에 방문해야하고, 어떤 아이템을 클릭하거나 끌어다 놓아야 하기 때문에, 해커는 악성 웹사이트를 이미 방문한 사람을 통해서만 제한적으로 쿠키 정보를 얻을 수 있을 것"이라고 말했다.

/로스앤젤레스(미국)=이균성 특파원 gslee@inews24.com