브라우저 기반 SaaS 업무환경이 확산되면서 웹 보안 위협의 초점이 애플리케이션에서 클라이언트 브라우저로 이동하고 있다.

최근 브라우저 탐지 및 대응(BDR) 솔루션 기업 스퀘어X(SquareX)가 발표한 연구에서 사파리(Safari) 브라우저의 전체 화면 API 취약점을 악용한 고급 피싱 기법인 전체 화면 BitM(Browser-in-the-Middle) 공격의 실체를 공개돼 기존 보안 체계의 탐지 한계를 드러냈다.

특히 사용자 인증정보를 탈취하는 이 공격 방식은 일반 기업 사용자가 육안으로 식별하기 어렵고, EDR이나 SASE 기반 솔루션으로도 탐지하기 어려워 기업 보안 환경에 심각한 경고를 보내고 있다.

사파리 전체 화면 모드 취약점과 BitM 공격 결합

스퀘어X는 사파리 전용으로 구현된 전체 화면 API의 설계 결함을 통해 매우 설득력 있는 BitM 공격을 구성할 수 있다고 밝혔다. 기존 BitM 공격은 공격자가 제어하는 팝업 브라우저에서 피해자에게 정상 로그인 페이지를 보여주며 정보를 유출시킨다. 하지만 사파리에서는 전체 화면 모드로 전환해 주소창을 숨기고, 시각적 전환 표시 없이 조작된 창을 띄울 수 있다. 이로 인해 피해자는 로그인 정보를 정상 창에 입력하고 있다고 착각하게 된다.

전체 화면 API는 “사용자 상호작용 후 실행”이라는 조건을 명시하지만, 구체적인 상호작용 유형은 정해져 있지 않다. 공격자는 가짜 로그인 버튼을 클릭 이벤트에 연결하여 전체 화면 전환을 유도할 수 있으며, 이를 통해 정교하게 위장된 피싱 창을 띄울 수 있다. 주소 표시줄이 사라진 사파리 환경에서 피해자는 시각적 단서를 인식하지 못해 쉽게 속게 된다.

기존 보안 체계 무력화 및 타 브라우저 노출 가능성

전체 화면 BitM 공격은 사파리뿐만 아니라 크롬, 에지, 파이어폭스와 같은 다른 브라우저에서도 API 구조상 가능성이 있다. 비록 이들 브라우저는 전체 화면 전환 시 경고 메시지를 제공하지만, 이 메시지는 짧고 눈에 띄지 않아 대부분의 사용자가 인지하지 못한다. 공격자가 다크 모드나 색상 조작을 활용하면 경고는 더더욱 눈에 띄지 않게 된다.

EDR이나 SASE/SSE 보안 체계는 브라우저 내부의 렌더링 화면이나 사용자 인터페이스 동작을 감지하지 못해 전체 화면 BitM 공격 탐지에 실패한다. 특히 원격 브라우저 제어와 픽셀 푸싱 기술이 결합될 경우, 로컬 트래픽이 없어 네트워크 기반 보안 도구도 무력화된다. 이로 인해 브라우저 API의 구조적 결함을 악용한 공격은 탐지와 방어가 어려운 신종 위협으로 부상하고 있다.

스퀘어X는에서 활동하는 전문 보안 기업으로, 악성 확장 프로그램, 브라우저 랜섬웨어, 고급 피싱, 생성AI 기반 데이터 유출 등 다양한 위협에 대응하는 솔루션을 제공하고 있다. 스퀘어X의 솔루션은 기존 보안 체계와 달리 사용자 브라우저에 직접 통합돼 동작하며, 사용자 경험 저해 없이 고급 보안 기능을 제공한다.