Browser-in-the-Browser (BitB) Phishing

개요

Browser-in-the-Browser(이하 BitB) 피싱은 웹 브라우저 내부에 실제처럼 보이는 가짜 브라우저 창을 생성해 사용자를 속이는 시각적 피싱 공격 기법입니다. 이 방식은 SSO(Single Sign-On) 또는 OAuth 로그인 인터페이스를 모방하여 사용자가 무심코 자격 증명을 입력하게 만듭니다. 본 글에서는 BitB 피싱의 작동 방식, 특징, 사례, 보안 위협 및 효과적인 대응 방안을 상세히 살펴봅니다.

---

1. 개념 및 정의

BitB 피싱은 자바스크립트, CSS, HTML을 활용해 웹사이트 내에 브라우저 팝업처럼 보이는 UI를 구성하고, 이를 통해 사용자의 로그인 정보를 탈취하는 공격입니다. 실제 브라우저 팝업처럼 동작하고 드래그 이동, 주소창, 자물쇠 아이콘까지 흉내낼 수 있어 사용자가 구분하기 어렵습니다.

---

2. 특징

특징	설명	기존 피싱과의 차이
시각적 완전성	브라우저 인터페이스를 정밀하게 모사	사용자 오탐 유도 가능성 높음
자바스크립트 기반	URL 이동 없이 페이지 내 UI 구성	탐지 회피 쉬움
클릭 유도성	OAuth, Google, Microsoft 로그인 위장	로그인 창 신뢰 유도

BitB는 사용자의 '브라우저 습관'을 노리는 심리적 기만 기술입니다.

---

3. 작동 방식

단계	설명	구현 방식
1. 링크 클릭 유도	이메일, 채팅 등 통해 피싱 사이트 접속	피싱 캠페인, 광고 활용 가능
2. OAuth 창 위장	페이지 내 자바스크립트로 팝업 구성	HTML/CSS 기반 로그인 UI 위장
3. 자격 증명 입력 유도	사용자가 로그인 정보 입력	입력값을 외부 서버로 전송
4. 리디렉션	정상 페이지로 이동시켜 의심 제거	로그인 성공처럼 위장

실제 브라우저 팝업이 아닌, 페이지 내에서 브라우저 UI를 재현하는 것이 핵심입니다.

---

4. 주요 사례 및 위협 분석

사례	설명	영향
RedTeam BitB PoC (2022)	웹 페이지 내 SSO 팝업 UI 모사	GitHub, Google 위장 로그인 피해 시연
악성 광고 캠페인	페이스북 광고 클릭 → 가짜 로그인 페이지 유도	사용자 대량 자격 증명 탈취
게임 커뮤니티 피싱	Steam 로그인 창 위장 사례	계정 도용 및 도박 사이트 유입

BitB는 인증 보안을 강화하려는 OAuth 방식의 맹점을 노린 최신 피싱 수법입니다.

---

5. 대응 방안 및 보안 전략

대응 전략	설명	적용 예
주소창 고정 검사	새 창 여부가 아닌 브라우저 실제 주소창 확인 유도	보안 교육에 명시 필요
외부 링크 경고	사이트 이동 시 안전 경고 표시	브라우저 확장 기능 활용
FIDO2 기반 인증	패스키, 생체인증 등 물리적 인증 도입	Google, Apple Passkey 활용
콘텐츠 무결성 검증	위장된 DOM 구조 탐지	CSP 정책, DOM 분석 툴 도입

기술적 방어뿐 아니라 사용자의 시각적 식별 능력 강화가 중요합니다.

---

6. 보안 인식 교육 포인트

항목	설명	교육 메시지
주소창만 믿지 않기	주소창이 보인다고 안전한 것은 아님	주소창 조작 가능성 경고
로그인 창 진위 확인	팝업창이 아닌 실제 새 브라우저 창 확인	브라우저 창 분리 권장
MFA(다중 인증) 활성화	계정 탈취 시도 실패율 증가	필수 보안 정책으로 지정

BitB 방어는 인프라보다 사용자의 경각심이 효과적일 수 있습니다.

---

7. 결론

Browser-in-the-Browser 피싱은 기존 피싱 방어 전략을 우회하는 정교한 시각 기반 공격 기법입니다. OAuth 및 SSO 환경의 보편화에 따라 BitB는 더욱 자주 등장할 가능성이 있으며, 이를 방어하기 위해서는 기술적 대응과 함께 시각적 피싱에 대한 사용자 인식 개선이 핵심입니다. 기업은 인증 UX와 보안 교육을 병행해 BitB와 같은 최신 위협에 대비해야 합니다.