한 보안업체가 주요 웹브라우저들이 내장한 기능이 해커나 피셔와 같은 공격자들에 의해 악용될 가능성이 있다며 문제를 제기했다. 보안 업체인 세큐니아(Secunia)는 대부분의 브라우저들의 이런 위험에 노출돼 있으며 피셔들이 이를 이용해 사용자들의 금융정보와 같은 민감한 개인데이터를 빼낼수 있다고 주장했다. 예를 들어 이 기능을 악용한 사이트에 사용자가 접속하면 은행 같은 정상적인 사이트에 연결되는 것처럼 보이고 팝업창이 열리고 개인정보를 요구한다. 하지만 이 팝업창은 조작된 것으로 입력한 정보는 피셔의 손으로 들어가게 된다. 세큐니아는 이 기능을 '결함'으로 분류하고 있다. 이런 결함은 MS의 인터넷 익스플로러(IE) 뿐만이 아니라 모질라 재단의 모질라와 파이어폭스, 오페라, 오픈소스인 컨커러(Konqueror)와 애플컴퓨터의 사파리 등도 해당된다고 세큐니아는 자사 사이트에서 밝히고 있다. 세큐니아의 최고 기술 책임자(CTO)인 토마스 크리스텐센은 "현재 사용되고 있는 어떤 브라우저도 다른 사이트가 팝업창의 콘텐츠를 변경하는 것을 확인하거나 이 사실에 대해 경고하지 않았다"며 "특정 기능을 실행하기 위해 콘텐츠를 클릭했기 때문에 사용자들은 대부분 이 팝업이 악성 사이트에 의해 조작됐다는 사실을 눈치채지 못한다"고 이메일을 통해 밝혔다. 세큐니아는 자사 사이트에 이 결함을 이용한 사기수법을 데모형식으로 공개하고 있다. 이 데모화면에서 시티뱅크의 사이트에 접속한 사용자가 특정 이미지를 클릭하면 세큐니아의 프로그램이 조종하는 팝업창이 표시되도록 하는 구조를 보여주고 있다. 이런 공격에 대해 MS는 브라우저의 정당한 기능을 이용해 사람들을 속이는 행위라고 말했다. MS는 씨넷 뉴스닷컴에 보낸 성명서에서 "우리가 조사한 바에 따르면 대부분의 주요 사이트들은 주소를 표시하지 않고 창을 열거나 다시 사용하는 기능이 있으며 이것은 결함이라기 보다는 각 웹사이트에 짜넣어진 신뢰의 메카니즘이라고 할 수 있다"고 전했다. 애플과 모질라 재단, 그리고 오페라는 이에 대해 즉각적인 답변은 거부했다. 브라우저의 기본적인 기능을 이용한 이런 해킹수단은 최근 새로운 위협으로 떠오르고 있으며 피셔들이 무고한 사용자들로부터 개인정보를 몰래 빼낼수 있도록 하는데 이용되고 있다. 지난 달에는 온라인 침입자들이 광고 서버인 팔크에 침입해 해당사 고객들을 공격하는데 한 서버를 사용했으며 IT관련 뉴스사이트인 레지스터도 같은 피해를 당했다. 또 다른 경우에는 악의적인 사이트로 연결되는 대량의 이메일과 함께 희생자의 컴퓨터에 애드웨어를 설치하기도 한다. MS는 윈도우 XP 서비스팩(SP2)에는 몇개의 피싱 방지 툴이 설치돼 있다고 강조했다. 금융이나 개인정보의 로그인을 요구하는 모든 사이트는 암호화를 통해 윈도우 하단의 상태창에 열쇠표시를 했다고 성명서를 통해 밝혔다. 또한 이 성명서에는 "일부 피싱 수법 중에는 브라우저 윈도우의 하단에 가짜의 상태바와 아이콘 까지도 표시하는 경우도 있다"며 "하지만 윈도우 XP SP2의 IE에서는 항상 진짜 상태바와 아이콘을 표시하므로 사용자들이 그런 속임수로부터 보호해준다"고 설명했다. 그러나 세큐니아는 그 브라우저 제작사들이 잊고 있는 것이 있다고 지적한다. 대부분 사용자들은 일단 자신이 합법적인 사이트에 접속했다고 믿는 순간부터 아이콘과 같은 그런 세세한 점이 변하는 것에 대해서는 신경을 거의 쓰지 않는다는 것이다. 크리스텐센은 "브라우저 제작사들은 공격자들의 행동습성과 방법들이 끊임없이 변화, 발전하고 있다는 것을 염두에 두지 않은 셈이다. 또한 자동적으로 악성 코드가 설치되는 보안상의 헛점 이외에도 염려해야 할 점이 많은 것을 모르고 있다"고 말했다. 세큐니아는 인터넷 사용자들에게 은행과 결제사이트와 같은 금융정보와 관계 있는 사이트를 접속할 때에는 하나의 창만을 이용할 것을 충고했다. @ Robert Lemos (CNET News.com)