비밀번호 관리 프로그램 사용자 주의 DOM 기반 클릭재킹 공격으로 개인정보 유출 위험

웹 브라우저용 인기 비밀번호 관리 프로그램 플러그인이 특정 조건으로 계정 자격 증명, 두 단계 인증(2FA) 코드, 신용카드 정보 등을 탈취할 수 있는 클릭재킹 보안 취약점에 노출된 것으로 확인되었습니다.
이 기술은 독립적인 보안 연구원 마렉 토트(Marek Tóth)에 의해 DOM 기반 확장 프로그램 클릭재킹으로 명명되었으며, 그는 이번 달 초 열린 DEF CON 33 보안 콘퍼런스에서 이 결과를 발표했습니다.
공격자가 제어하는 웹사이트의 어느 곳에서나 단 한 번의 클릭만으로 공격자가 사용자의 데이터(신용카드 정보, 개인 데이터, 로그인 자격 증명, TOTP 포함)를 훔칠 수 있습니다.”라고 토트는 설명했습니다. 이 새로운 기술은 일반적이며 다른 유형의 확장 프로그램에도 적용될 수 있습니다.
클릭재킹(UI 리드레스링)은 사용자가 웹사이트에서 버튼 클릭 등 표면상 무해해 보이는 일련의 행동을 수행하도록 속이는 공격 유형을 의미합니다. 실제로는 사용자가 무의식적으로 공격자의 의도를 실행하게 됩니다.
Tóth가 상세히 설명한 새로운 기술은 브라우저 확장 프로그램이 DOM에 주입하는 웹 페이지의 UI 요소를 악성 스크립트를 통해 조작하는 것을 기본으로 합니다. 예를 들어, 자동 완성 창을 투명도를 0으로 설정해 보이지 않게 만드는 방식
해당 연구는 1Password부터 iCloud Passwords까지 11개의 인기 있는 비밀번호 관리 브라우저 확장 프로그램에 초점을 맞췄으며, 모두 DOM 기반 확장 프로그램 클릭재킹에 취약한 것으로 확인되었습니다. 이 확장 프로그램들은 합쳐서 수백만 명의 사용자를 보유하고 있습니다.

Bitwarden Password Manager 2025.8.0

공격을 수행하려면 악의적인 공격자는 침입적인 팝업(예: 로그인 화면이나 쿠키 동의 배너)을 포함한 가짜 사이트를 생성하고, 보이지 않는 로그인 양식을 삽입하면 됩니다. 사용자가 팝업을 닫고자 사이트를 클릭하면 비밀번호 관리자가 자격 증명 정보를 자동으로 입력하고 원격 서버로 유출됩니다.
모든 비밀번호 관리자는 주 도메인뿐 아니라 모든 서브도메인에도 자격 증명을 입력했다고 토스는 설명
공격자는 XSS나 다른 취약점을 쉽게 찾아 단 한 번의 클릭으로 사용자의 저장된 자격 증명을 훔칠 수 있습니다(11개 중 10개), TOTP도 포함됩니다(11개 중 9개). 일부 시나리오에서는 패스키 인증도 악용될 수 있습니다(11개 중 8개)."
책임 있는 공개 이후 6개의 벤더는 해당 결함에 대한 패치를 아직 출시하지 않았음
1Password Password Manager 8.11.4.27
Apple iCloud Passwords 3.1.25
Bitwarden Password Manager 2025.7.0 해당 버전 포함 그 이하 버전
Enpass 6.11.6
LastPass 4.146.3  
LogMeOnce 7.12.4
소프트웨어 공급망 보안 기업 Socket은 해당 연구를 독립적으로 검토한 결과
Bitwarden,Enpass,iCloud Passwords는 패치 작업을 진행 중이며
1Password와 LastPass는 이를 정보 제공용으로 분류했다고 밝혔습니다.
또한, 해당 문제에 대한 CVE 식별자를 할당하기 위해 US-CERT에 연락을 취함
수정 사항이 제공될 때까지 사용자는 비밀번호 관리자의 자동 완성 기능을 비활성화하고 복사/붙여 넣기만 사용하도록 권장
크로미움 기반 브라우저 사용자는 확장 프로그램 설정에서 사이트 액세스를 클릭 시 로 구성하는 것이 좋습니다 라고 Tóth는 밝힘
해당 구성은 사용자가 자동 완성 기능을 수동으로 제어할 수 있도록 합니다.
업데이트 
Bitwarden은 클릭재킹 취약점을 해결하기 위해 비밀번호 관리자의 버전 2025.8.0을 업데이트 제공 또한 사용자들이 웹사이트 URL에 주의하고 피싱 캠페인을 경계하여 악성 웹사이트를 피하도록 권장하고 있습니다.