DetailPage-MSS-KB

기술 자료

기술 자료: 833786 - 마지막 검토: 2008년 2월 5일 화요일 - 수정: 12.1

이 페이지에서

요약

Microsoft Internet Explorer, Microsoft Outlook Express 또는 Microsoft Outlook에서 하이퍼링크를 가리키면 일반적으로 웹 사이트의 주소가 창 맨 아래의 상태 표시줄에 나타납니다. Internet Explorer에서 열리는 링크를 누르면 일반적으로 웹 사이트 주소가 Internet Explorer 주소 표시줄에 나타나고 웹 페이지 제목은 창의 제목 표시줄에 나타납니다.

그러나 악의 있는 사용자가 상태 표시줄, 주소 표시줄 및 제목 표시줄에는 정상적인 것처럼 보이는 웹 사이트 주소나 URL을 표시하지만 실제로는 거짓(스푸핑) 웹 사이트로 이동하는 링크를 만들 수 있습니다. 이 문서에서는 이러한 문제를 완화하고 거짓(스푸핑) 웹 사이트나 URL을 식별하기 위해 취할 수 있는 조치를 설명합니다.

추가 정보

이 문서에서는 스푸핑 웹 사이트로부터 보호하기 위해 취할 수 있는 조치를 설명합니다. 이를 요약하면 다음과 같습니다.
  • Internet Explorer용 MS04-004 누적 보안 업데이트(832894)를 설치합니다.
  • 오른쪽 아래의 상태 표시줄에 자물쇠 아이콘이 있는지 확인하고 개인 정보나 기밀 정보를 입력하기 전에 현재 보고 있는 페이지를 제공하는 서버의 이름을 확인합니다.
  • 신뢰하지 않는 하이퍼링크는 누르지 말고 주소 표시줄에 직접 주소를 입력합니다.

Internet Explorer용 MS04-004 누적 보안 업데이트(832894) 설치

이 보안 업데이트에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/technet/security/Bulletin/MS04-004.asp (http://www.microsoft.com/korea/technet/security/Bulletin/MS04-004.asp)
이 문서에서는 스푸핑 웹 사이트와 악의적인 하이퍼링크를 식별하는 방법도 설명합니다.

참고 Microsoft Windows XP 서비스 팩 2를 이미 설치한 경우 이 업데이트를 설치할 필요가 없습니다. 이 서비스 팩에는 업데이트가 포함되어 있습니다.

스푸핑 웹 사이트로부터 보호하기 위해 수행할 수 있는 작업

해당 웹 사이트가 SSL/TLS(Secure Sockets Layer/Transport Layer Security)를 사용하는지 확인하고 기밀 정보를 입력하기 전에 서버의 이름을 확인하십시오.

SSL/TLS는 사용자 정보를 인터넷을 통해 전송할 때 암호화하여 이 정보를 보호하는 데 일반적으로 사용됩니다. 또한, 올바른 서버로 데이터를 보낸다는 것을 증명합니다. SSL/TLS에 대한 디지털 인증서 사용자에 나와 있는 이름을 확인하면 현재 보고 있는 페이지를 제공하는 서버의 이름을 확인할 수 있습니다. 서버 이름을 확인하려면 Internet Explorer 창의 오른쪽 아래 모서리에 자물쇠 아이콘이 나타나는지 확인하십시오.

참고 상태 표시줄이 활성화되어 있지 않은 경우 자물쇠가 나타나지 않습니다. 상태 표시줄을 활성화하려면 보기를 누른 다음 상태 표시줄을 선택하십시오.

디지털 인증서에 나타나는 서버의 이름을 확인하려면 자물쇠 아이콘을 두 번 누른 다음 발급 대상 옆에 나타나는 이름을 확인하십시오. 웹 사이트에서 SSL/TLS를 사용하지 않는다면 이러한 사이트에는 개인 정보나 기밀 정보를 보내지 마십시오. 발급 대상 옆에 나타나 있는 이름이 현재 보고 있는 페이지를 제공한다고 생각되는 사이트 이름과 다르다면 브라우저를 닫고 이 사이트에서 나가십시오. 이러한 작업을 수행하는 방법에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/security/incident/spoof.asp (http://www.microsoft.com/korea/security/incident/spoof.asp)

악의 있는 하이퍼링크로부터 보호하기 위해 수행할 수 있는 작업

악의 있는 하이퍼링크로부터 보호하기 위해 취할 수 있는 가장 효과적인 조치는 이러한 하이퍼링크를 누르지 않는 것입니다. 대신 주소 표시줄에 직접 방문하고자 하는 대상의 URL을 입력하십시오. 주소 표시줄에 직접 URL을 입력하면 Internet Explorer가 대상 웹 사이트에 액세스하는 데 사용하는 정보를 확인할 수 있습니다. 이렇게 하려면 주소 표시줄에 URL을 입력한 다음 Enter 키를 누르십시오.

참고 주소 표시줄은 활성화되어 있지 않으면 나타나지 않습니다. 주소 표시줄을 활성화하려면 보기를 누르고 도구 모음을 가리킨 다음 주소 표시줄을 선택하십시오.

웹 사이트가 SSL/TLS를 사용하지 않을 때 스푸핑 사이트를 식별하기 위해 수행할 수 있는 작업

현재 보고 있는 페이지를 제공하는 사이트의 이름을 확인하기 위해 취할 수 있는 가장 효과적인 조치는 SSL/TLS를 사용하여 디지털 인증서에서 이름을 확인하는 것입니다. 해당 사이트가 SSL/TLS를 사용하지 않는다면 현재 보고 있는 페이지를 제공하는 사이트의 이름을 확실히 확인할 수 없습니다. 그러나 몇 가지 다른 방법을 시도해 볼 수 있으며 스푸핑 사이트를 식별하는 데 도움이 될 수도 있습니다.

주의 다음 정보는 잘 알려진 공격 방법을 토대로 일반적인 지침을 제공하는 것입니다. 공격 방법이 계속 바뀌기 때문에 악의 있는 사용자가 스푸핑 웹 사이트를 만들 때 여기에 설명되어 있는 것과 다른 방법을 사용할 수 있습니다. 스스로를 안전하게 보호하려면 디지털 인증서에서 그 이름을 확인한 경우에만 웹 사이트에 개인 정보나 기밀 정보를 입력하십시오. 또한, 조금이라도 사이트의 신뢰성이 의심된다면 브라우저 창을 즉시 닫아 그 사이트에서 나가십시오. 브라우저 창을 닫는 가장 빠른 방법은 Alt+F4를 누르는 것입니다.

현재 웹 페이지의 URL 확인

현재 웹 사이트의 URL을 확인하는 방법은 다음과 같습니다.

Jscript 명령을 사용하여 현재 웹 사이트의 실제 URL 확인

Internet Explorer에서 JScript 명령을 사용하십시오. 주소 표시줄에 아래 명령을 입력한 다음 Enter 키를 누릅니다.
javascript:alert("실제 URL 주소: " + location.protocol + "//" + location.hostname + "/");
주의 주소 표시줄에 직접 스크립트를 입력할 때는 주의해서 하십시오. 주소 표시줄에 직접 입력하는 스크립트는 현재 로그온해 있는 사용자처럼 로컬 시스템에서 작업을 수행할 수 있습니다.

JScript 메시지 상자가 나타나면서 방문 중인 웹 사이트의 실제 URL 웹 주소를 표시합니다.

또한 다음 JScript 코드를 복사하고 주소 표시줄에 붙여 넣으면 웹 사이트 URL의 자세한 설명을 볼 수 있습니다.
javascript:alert("실제 URL:\t\t" + location.protocol + "//" + location.hostname + "/" + "\n주소 표시줄 URL:\t" + location.href + "\n" + "\n서버 이름이 서로 일치하지 않는다면 스푸핑 사이트일 수 있습니다.");
실제 URL과 주소 표시줄 URL을 비교해 보십시오. 일치하지 않으면 웹 사이트가 거짓 주소를 나타내는 것일 수 있습니다. 이러한 경우에는 Internet Explorer를 닫습니다.

Internet Explorer의 열어본 페이지 목록 창을 사용하여 현재 웹 사이트의 실제 URL 확인

Microsoft가 테스트한 시나리오에서는 Internet Explorer의 열어본 페이지 목록 탐색 창을 사용해서도 웹 페이지의 URL을 확인할 수 있습니다. 보기 메뉴에서 탐색 창을 가리킨 다음 열어 본 페이지 목록을 누릅니다. 주소 표시줄의 URL을 열어본 페이지 목록에 나타나는 URL과 비교합니다. 일치하지 않으면 웹 사이트가 거짓 주소를 나타내는 것일 수 있으며 이러한 경우에는 Internet Explorer를 닫습니다.
URL을 새 Internet Explorer 인스턴스의 주소 표시줄에 붙여넣기

URL을 새 Internet Explorer 인스턴스의 주소 표시줄에 붙여 넣는 방법을 사용해 볼 수 있습니다. 이렇게 하면 Internet Explorer가 대상 웹 사이트에 액세스하는 데 사용하는 정보를 확인할 수 있습니다. Microsoft가 테스트한 시나리오에서는 주소 표시줄에 나타나는 URL을 복사해서 이를 새 Internet Explorer 세션의 주소 표시줄에 붙여 넣어 Internet Explorer가 대상 웹 사이트에 액세스하는 데 실제로 사용하는 정보를 확인할 수 있습니다. 이 절차는 이 문서 앞부분의 "스푸핑 웹 사이트로부터 보호하기 위해 수행할 수 있는 작업" 절에 나와 있는 단계와 유사합니다.

주의 전자 상거래 사이트 같은 일부 사이트에서는 이 작업으로 인해 현재 세션이 손실될 수 있습니다. 예를 들어, 온라인 쇼핑 카트의 내용물이 사라져서 카트를 다시 채워야 할 수 있습니다.

새 Internet Explorer 인스턴스의 주소 표시줄에 URL을 붙여 넣으려면 다음과 같이 하십시오.
  1. 주소 표시줄의 텍스트를 선택하고, 이 텍스트를 마우스 오른쪽 단추로 누른 다음 복사를 누릅니다.
  2. Internet Explorer를 종료합니다.
  3. Internet Explorer를 시작합니다.
  4. 주소 표시줄을 누르고 마우스 오른쪽 단추를 누른 다음 붙여넣기를 누릅니다.
  5. Enter 키를 누릅니다.
악의 있는 하이퍼링크를 식별하기 위해 수행할 수 있는 작업
Internet Explorer가 대상 웹 사이트에 액세스하는 데 사용할 정보를 확인할 수 있는 유일한 방법은 주소 표시줄에 직접 URL을 입력하는 것입니다. 그러나 몇 가지 다른 방법을 시도해 볼 수 있으며 악의 있는 하이퍼링크를 식별하는 데 도움이 될 수도 있습니다.

주의 다음 정보는 잘 알려진 공격 방법을 토대로 일반적인 지침을 제공하는 것입니다. 공격 방법이 계속 바뀌기 때문에 악의 있는 사용자가 스푸핑 웹 사이트를 만들 때 여기에 설명되어 있는 것과 다른 방법을 사용할 수 있습니다. 스스로를 안전하게 보호하려면 디지털 인증서에서 그 이름을 확인한 경우에만 웹 사이트에 개인 정보나 기밀 정보를 입력하십시오. 또한, 조금이라도 사이트의 신뢰성이 의심된다면 브라우저 창을 즉시 닫아 그 사이트에서 나가십시오. 브라우저 창을 닫는 가장 빠른 방법은 Alt+F4를 누르는 것입니다.

하이퍼링크가 사용하는 URL 확인

하이퍼링크가 사용하는 URL을 확인하려면 다음과 같이 하십시오.
  1. 링크를 마우스 오른쪽 단추로 누른 다음 바로 가기 복사를 누릅니다.
  2. 시작을 누르고 실행을 누릅니다.
  3. notepad를 입력한 다음 확인을 누릅니다.
  4. 메모장의 편집 메뉴에서 붙여넣기를 누릅니다.
이렇게 하면 하이퍼링크의 전체 URL을 확인하고 Internet Explorer가 사용할 주소를 검토할 수 있습니다. 다음은 스푸핑 웹 사이트로 이동할 수 있는 URL에 나타날 수 있는 문자 중 일부입니다.
  • %00
  • %01
  • @
예를 들어, 다음 형태의 URL은 http://example.com으로 연결되지만 Internet Explorer에서 주소 표시줄이나 상태 표시줄의 URL은 http://www.wingtiptoys.com으로 나타날 수 있습니다.
http://www.wingtiptoys.com%01@example.com
기타 조치
아래의 조치로 거짓(스푸핑) 웹 사이트나 URL을 식별할 수는 없어도 스푸핑 웹 사이트나 악의 있는 하이퍼링크로부터 받은 공격으로 인해 발생하는 피해를 제한하는 데 도움이 될 수 있습니다. 그러나, 인터넷 영역에서 전자 메일 메시지와 웹 사이트가 스크립트, ActiveX 컨트롤 및 기타 피해를 입을 가능성이 있는 콘텐츠를 실행하는 것 또한 함께 제한됩니다.
  • 웹 콘텐츠 영역을 사용하여 인터넷 영역에 있는 웹 사이트가 컴퓨터에서 스크립트, ActiveX 컨트롤 또는 기타 피해를 입을 가능성이 있는 콘텐츠를 실행하지 못하도록 합니다. 먼저 Internet Explorer에서 인터넷 영역 보안 수준을 높음으로 설정합니다. 보안 수준을 설정하는 방법은 다음과 같습니다.
    1. 도구 메뉴에서 인터넷 옵션을 누릅니다.
    2. 보안 탭을 누르고 인터넷을 누른 다음 기본 수준을 누릅니다.
    3. 슬라이더를 높음으로 이동한 다음 확인을 누릅니다.
    그런 다음 신뢰하는 웹 사이트의 URL을 신뢰할 수 있는 사이트 영역에 추가합니다. 신뢰할 수 있는 사이트 영역에 추가하는 방법은 다음과 같습니다.
    1. 도구 메뉴에서 인터넷 옵션을 누릅니다.
    2. 보안 탭을 누릅니다.
    3. 신뢰할 수 있는 사이트를 누릅니다.
    4. 사이트를 누릅니다.
    5. 추가할 사이트가 서버 확인을 요구하지 않으면 이 영역에 있는 모든 사이트에 대해 서버 확인(https:) 필요 확인란을 선택 취소합니다.
    6. 신뢰할 수 있는 사이트 목록에 추가할 웹 사이트 주소를 입력합니다.
    7. 추가를 누릅니다.
    8. 추가할 각 웹 사이트에 대해 6-7단계를 반복합니다.
    9. 확인을 차례로 두 번 누릅니다.
  • 전자 메일 메시지를 일반 텍스트로 읽습니다.

    Outlook 2002 및 Outlook 2003의 경우

    307594  (http://support.microsoft.com/kb/307594/ ) OL2002: 사용자가 보안되지 않은 전자 메일을 일반 텍스트로 읽을 수 있다
    831607  (http://support.microsoft.com/kb/831607/ ) Outlook 2003에서 일반 텍스트 형식으로 모든 전자 메일 메시지를 보는 방법


    Outlook Express 6의 경우
    291387  (http://support.microsoft.com/kb/291387/ ) OLEXP: Outlook Express 6에서 바이러스 방지 기능 사용
    전자 메일을 일반 텍스트로 읽으면 하이퍼링크의 전체 URL을 보고 Internet Explorer가 사용할 주소를 검토할 수 있습니다. 다음은 스푸핑 웹 사이트로 이동할 수 있는 URL에 나타날 수 있는 문자 중 일부입니다.
    • %00
    • %01
    • @
  • 예를 들어, 다음 형태의 URL은 http://example.com으로 연결되지만 Internet Explorer의 주소 표시줄에 나타나는 URL은 http://www.wingtiptoys.com으로 표시될 수 있습니다.
    http://www.wingtiptoys.com%01@example.com

참조

URL(http://services.support.microsoft.com/Uniform Resource Locator)에 대한 자세한 내용을 보려면 다음 W3C(Word Wide Web Consortium) 웹 사이트를 방문하십시오.
http://www.w3.org/Addressing/URL/url-spec.txt (http://www.w3.org/Addressing/URL/url-spec.txt)
이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.



Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx) 에 참여하시기 바랍니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Internet Explorer 6.0 을(를) 다음과 함께 사용했을 때
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
  • Microsoft Internet Explorer 5.5 을(를) 다음과 함께 사용했을 때
    • Microsoft Windows 2000 서비스 팩 2
    • Microsoft Windows 2000 서비스 팩 3
    • the operating system: Microsoft Windows 2000 SP4
    • Microsoft Windows NT 4.0 서비스 팩 6a
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
    • the operating system: Microsoft Windows 2000 SP4
  • Microsoft Internet Explorer 5.01 서비스 팩 3 을(를) 다음과 함께 사용했을 때
    • Microsoft Windows 2000 서비스 팩 3
  • Microsoft Internet Explorer 5.01 Service Pack 2 을(를) 다음과 함께 사용했을 때
    • Microsoft Windows 2000 서비스 팩 2
키워드: 
kbsecvulnerability kbsecurity kbsechack kbsecbulletin kbinfo kburgent KB833786
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.