'클립보드에 독을 타는 해킹공격 기법 발견'... 인터넷서 터미널 명령어 복사할 때 주의 필요

2016. 5. 31. 05:25    작성자: ONE™

사용자의 부주의한 터미널 명령어 사용으로 컴퓨터 보안이 쉽게 뚫릴 수 있다는 연구 결과가 나왔습니다.

미국 보안업체인 '멀웨어바이츠(Malwarebytes)'는 27일 웹사이트에서 터미널 명령어를 복사하고 입력하는 과정에서 임의의 코드를 실행할 수 있는 공격 기법이 발견됐다고 전했습니다. 

운영체제의 숨겨진 기능을 활성화하거나 특성을 바꾸기 위해 컴퓨터 주인이 인터넷에 올라온 터미널 명령어를 그대로 입력하는 경우가 많은데, 이때 실제 명령어와는 전혀 다른 명령어가 실행될 수 있다는 것입니다. 

예를 들어, 위 그림과 같이 테스트 사이트에서 복사한 echo "not evil"이라는 명령어를 터미널에 입력하면 "not evil"이라는 메시지가 표시돼야 하지만, 엉뚱하게도 "evil"이라는 메시지를 띄웁니다. 게다가 텍스트와 함께 엔터 키가 바로 입력되는 까닭에 내용을 확인할 겨를조차 없이 명령어가 실행됩니다.

이런 취약성이 발생하는 원리는 간단합니다.

공격자는 웹 사이트 방문자가 텍스트를 복사할 때 클립보드에 임의의 코드가 저장되도록 할 수 있습니다. 이를 위해 웹 사이트 상에서 보이지 않는 자바스크립트가 이용되는데 마치 온라인 기사를 복사∙붙여넣기 할 때 기사 뒤에 저작권 관련 메시지나 링크가 자동으로 삽입되는 것과 비슷한 원리라고 할 수 있습니다. 이 같은 사실을 인지하지 못한 채 터미널에 명령어를 입력하면 시스템 침투에서부터 데이터 파괴에 이르는 여러 유형의 해커 공격에 무방비로 노출될 수 있습니다.

'페이스트재킹(Pastejacking)'으로 명명된 이 공격 기법은 아직 '개념증명(PoC)' 단계로, 다행히 실제 피해 사례는 보고되지 않았습니다. 다만 이 공격 기법을 기반으로 한 예시가 일반에 공개된 만큼 실제 공격으로 이어질 우려가 높아지고 있습니다. 

따라서 인터넷에서 찾은 터미널 명령어를 사용할 때는 돌 다리도 두드려보는 심정으로, 텍스트 편집기에 먼저 붙여넣어 원본과 비교하는 보안 습관이 필요해 보입니다.



참조
MalwareBytes - Clipboard poisoning attacks on the Mac

관련 글
• '로그인 정보 입력좀...' 애플 고객센터 가장한 피싱 사기, 국내에서도 포착
• 웹 브라우저에서 마우스 우클릭 차단 및 드래그 방지를 해제하는 방법
• 사용자 몰래 '동의' 버튼 누르는 새로운 형태의 악성코드 발견
• 맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'

    
  1. Blog Icon
    a

    이런 공격방식이라면 윈도우도 위험하겠네요.. 이왕 이런저런 위협도 있고, 나중에 다시 치기 귀찮음도 방지할겸
    배치파일이나 스크립트로 작성해서 쓰는것도 좋겠네요

  2. Blog Icon
    typ0s2d10

    캡춰에서 보듯이 엔터까지 같이 복사되게 해 놓은 경우 비교고 뭐고 붙여넣는 순간 끝이군요.
    뭔가 대안이 되는 앱이 필요하겠네요..

  3. Blog Icon

    이건 굉장히 위험하네요.

    rm -rf /

    이런거 있으면. ㅡㅡ 끔찍합니다.

  4. 보통 문제가 아니네요! 특히 블로그 쓰시는 분들이 복사해서 사용 많이 하실듯 한데요. 많은분들이 이 포스팅 보고 주의해야 할듯 합니다.
    포스팅 잘보고 갑니다!

  5. sudo rm -rf / 붙이면 맥 리눅스 폭파..
    비베스크립트로 권한 엘리베이션 + del /f /q c:₩*.* 하면 윈도우폭파...

  6. Blog Icon
    FR13NDS

    두번 세번 조심해야겠네요 ;;
    생각없이 요즘 긁어다가 터미널에 넣곤했는데 .. 좋은 정보 알아갑니다.

  7. Plain Text ( http://apple.co/22vyGIP ) 이걸로 복사해서 서식이 지워져도 마찮가지일까요.

  8. 서식이 아닌 텍스트 자체가 교체되는 방식이라 그런 카피&페이스트 보조 프로그램으로는 도움이 안 되는군요. 웹페이지에서 텍스트를 긁어올 때 자바스크립트를 잠시 비활성화하는 것도 도움이 될 듯합니다.
    http://macnews.tistory.com/1863