키로깅
키로깅(keylogging)은 ‘키스트로크 로깅(keystroke logging)’의 약자. 키로거는 소프트웨어 프로그램이나 하드웨어 장치를 통해 사용자의 키보드 입력을 추적, 기록하는 활동 모니터링 스파이웨어의 한 형태이다. 키로깅, 키로거, 키로그가 사용되기도 하지만 키로깅은 공격 기법, 키로거는 사용되는 프로그램, 키로그는 생성된 로그로 각각 다른 것들을 의미한다.
목차
개요
일반적인 컴퓨터뿐 아니라 태블릿, 휴대폰 역시 키로깅의 타겟이 될 수 있으며, 불법 해킹의 목적 외에도 IT 조직의 모니터링 활동이나 인간-컴퓨터 상호작용을 연구하는 과정에서도 키로깅이 활용된다. 대개 사용자의 동의 없이 기록을 만들고 전송하는 방식의 크래킹 도구로 쓰인다.[1] 윈도우 10의 경우 사용자의 정보 수집을 위한 키로깅 프로그램을 공식적으로 운영하고 있으며 이 기능은 설정을 통해 비활성화할 수 있다. 미국 정보수사기관(FBI)가 1999년 키로거 설치 전략을 활용하여 마피아 보스를 검거했고, 마약 단속국(EDA)가 2007년 키로거를 활용해 엑스터시(MDMA) 제조 설비를 적발한 사례가 있다. 그러나 키로깅의 최대 사용처는 해킹 분야다.[2]
일반적으로 키보드로 정보를 입력하면 운영체제(OS)에서 처리하여 모니터에 해당 정보를 보여주게 된다. 키로깅 프로그램은 키보드에서 입력한 정보를 운영체제에서 처리할 때 정보를 가로채 파일 등으로 저장하였다가 지정된 서버로 파일을 전송하여 정보를 빼낸다. 키로깅 프로그램이 설치되어 있으면 인터넷 사이트에 로그인하는 정보, 사적으로 주고 받은 메신저의 대화, 회사의 기밀정보를 작성한 메일 등 키보드로 입력한 모든 정보를 알 수 있기 때문에 개인정보 및 기밀정보의 유출로 이어질 수 있다.
키로깅은 종종 악성코드 패키지의 한 부분으로서 사용자의 인식없이 컴퓨터에 설치되기도 한다. 그렇기 때문에 자신의 컴퓨터에 키로깅 프로그램 설치 사실을 알지 못해 오랜 기간 동안 지속적으로 중요한 정보가 유출될 위험이 있다. 키로깅이 특히 자주 발생하는 경우들은 다음과 같다.
유형
공용 컴퓨터
공용 컴퓨터들은 키로깅 소프트웨어와 하드웨어의 설치에 매우 취약하다. 공용 컴퓨터들은 아무나 기계에 대한 접근을 얻고 몇 분 안에 비밀리에 키로거를 설치할 수 있기 때문이다.
게임
온라인 게임 사업에서 기록을 훔치고 사용자의 온라인 게임 계정을 해킹하기 위한 용도로 키로깅이 유행하고 있다.
금융기관
금융기관들은 키로거들의 대상이 되고 있으며, 특히 PIN 패드나 스크린 키보드를 사용하지 않는 산업에서 더욱 뚜렷한 현상을 보인다. 2011년, 농협 전산망 자료가 대규모로 손상되어 최장 18일간에 걸쳐 전체 또는 일부 서비스 이용이 불가능했던 사건 또한 키로깅을 활용한 수법이다.
개인적인 사용
본인의 주변 사람이나 배우자, 애인 등을 염탐하려는 목적으로 설치되는 경우가 많다. 이 외에도 개인의 필요에 의해 악용되는 경우가 많다.
스마트 보안관
2012년 대한민국 정부의 개발 지원 및 후원으로 무료 배포된 앱으로 보호자가 아이의 온라인 활동을 제어할 수 있게 해주는 프로그램이다. 정부는 19세 이하 사용자들의 스마트폰에 설치할 것을 요구하고 있으며, 부모가 아이들의 스마트폰 사용 위치, 사용 시간, 사용 앱, 방문 사이트를 모니터링 할 수 있고, 다양한 웹사이트의 접속을 차단할 수 있을 뿐만 아니라, 사용중인 앱의 제거 및 스마트폰 전원 끄기까지 할 수 있다. 스마트 보안관은 이점도 있지만, 공식적인 협의 없이 10대들의 휴대폰에 감시 카메라를 설치하는 것과 같기 때문에 사생활 침해에 대한 비판을 받았다.[3]
분류
하드웨어 키로깅
하드웨어 키로깅은 일반적으로 USB 포트를 사용하여 키입력 값을 가로채는 기법이다. 하드웨어 키로깅이 위험한 이유는 백신 프로그램으로 잡을 수 없기 때문이다. 키보드 입력을 메모리에 기록하며, 특정 문자열을 입력해야만 이동식디스크로 인식해 볼 수 있다. 또한, USB와 생김새가 비슷해 위장이나 은닉이 용이하다. 최근엔 모니터, 마우스 단자를 위장한 하드웨어 키로깅까지 등장해 사용자의 개인정보를 위협하고 있다. [4]
- 하드웨어 방식의 유형
- 키보드 하드웨어: 키보드 단자와 본체 USB 포트 사이에 설치해 사용자의 입력 값을 훔친다.
- 스니퍼 하드웨어: 무선 키보드와 마우스에서 전송되는 데이터 패킷을 훔친다.
- 오버레이 공격: 키보드 위에 덮어씌우는 템플릿을 이용한다.
- 전자기 방출 공격: 유선 키보드가 방출하는 전자기를 감지해 킷값을 알아낸다.
소프트웨어 키로깅
소프트웨어 키로깅은 사용자의 키입력을 추출하기 위해 주로 다음과 같은 방법이 활용된다.
- 소프트웨어 방식의 유형
- 소프트웨어 프로그램 해킹: 비밀리에 설치한 소프트웨어 프로그램으로 구성되며, 직접 다운로드하거나 피싱 공격 및 원격조정으로 설치된다.
- 메모리 해킹“ 자바 스크립트(웹 사이트에 삽입), API(응용 프로그램 내 실행), 웹 양식(웹 양식에 제출된 모든 데이터 기록) 등 실행중인 프로세스 메모리 속 키입력 값을 탈취하는 기법이다.
- DLL 인젝션: 다른 프로세스에 특정 DLL 파일을 강제로 삽입시키는 방식이다. 프로세스에 로딩된 DLL 라이브러리는 메모리에 대한 접근 권한이 생기므로 원하는 어떤 행동이라도 수행 가능하다. [5]
- 드라이버 해킹: 기존 키보드 드라이버를 대체해 먼저 실행될 수 있도록 한 후, 키입력 값을 가로챈다. 이는 별도의 보안 드라이버를 사용하는 방식으로 대처할 수 있다.
- SSL 후킹: 특정 프로세스의 소켓 관련 함수를 후킹(가로채기)하여 SSL 암호화 전의 HTTP 데이터를 훔친다.
예방 및 대안
키로깅 프로그램은 한번 설치되면 이를 발견해 제거하기 어렵기 때문에 이용자가 PC를 사용하는 과정에서 프로그램이 설치되지 않도록 하는 것이 최선이다. 반드시 정품 소프트웨어를 사용하고 신뢰할 수 있는 사이트에서 다운로드 받은 프로그램만 설치하는 것이 좋다. 스파이 웨어 차단 프로그램을 설치하고 제한된 사용자 모드를 사용하는 것이 좋고, 출처가 불분명한 메일이나 링크는 열어보지 않는 것이 효과적이다.키보드 해킹 방지 프로그램을 사용하여 키로깅 프로그램의 작동 방식을 우회하는 방법도 있다. 예를 들어 로그인 할 때, 아이디의 일부를 입력한 뒤 비밀번호의 일부를 입력하고, 다시 아이디의 나머지와 비밀번호의 나머지를 순서대로 입력하는 것이다. 이렇게 하면 정보를 가로채기 하더라도 실제 아이디와 비밀번호를 찾기가 어렵게 된다.[6] 마우스 클릭이나 키보드 입력 시 지연이 발생하거나 타이핑한 내용이 스크린에 나타나지 않는 경우 키로깅을 의심해볼 수 있다. 키로깅 피해를 입고 있다고 의심되는 경우, 적발 회피 맬웨어를 확인, 제거할 수 있는 전용 백신 소프트웨어인 ‘루트킷 맬웨어’(rootkit malware) 설치를 권장한다. 비슷한 백신으로는 맬웨어바이츠(Malwarebytes), 카스퍼스키(Kaspersky), 소포스(Sophos), 맥아피(McAfee), F-시큐어(F-Secure) 등 여러 가지가 있다.[2] 키로깅 소프트웨어의 탐지를 위해 설계된 소프트웨어인 안티 키로거를 사용하는 방법도 있지만 이 경우 합법적인 키로거 프로그램과 불법적인 키로거 프로그램을 구별하지 못해 모든 키로깅 프로그램들을 삭제하기 때문에 합법적인 키로깅 프로그램을 이용하는 사용자에겐 좋지 않은 선택지이다.
각주
- ↑ 키로거 나무위키 - https://namu.wiki/w/%ED%82%A4%EB%A1%9C%EA%B1%B0
- ↑ 2.0 2.1 Violet Blue, 〈“어디에나 있고 누구든 위협한다” 키로거 공격방식과 대처법〉, 《아이티월드》, 2017-06-30
- ↑ 스마트보안관 위키백과 - https://ko.wikipedia.org/wiki/스마트보안관
- ↑ 양원모 기자, 〈입력하는대로 샤샤샥, 키 로거 공격 〉, 《보안뉴스》, 2019-06-11
- ↑ 와꼬와트라, 〈DLL인젝션 개념〉, 《티스토리》, 2015-10-30
- ↑ 개인정보보호, 〈키로깅(Key Logging)프로그램 이란?〉, 《네이버 블로그》, 2013-12-11
참고자료
- 키로거 나무위키 - https://namu.wiki/w/%ED%82%A4%EB%A1%9C%EA%B1%B0
- Violet Blue, 〈“어디에나 있고 누구든 위협한다” 키로거 공격방식과 대처법〉, 《아이티월드》, 2017-06-30
- 스마트보안관 위키백과 - https://ko.wikipedia.org/wiki/스마트보안관
- 양원모 기자, 〈입력하는대로 샤샤샥, 키 로거 공격 〉, 《보안뉴스》, 2019-06-11
- 와꼬와트라, 〈DLL인젝션 개념〉, 《티스토리》, 2015-10-30
- 개인정보보호, 〈키로깅(Key Logging)프로그램 이란?〉, 《네이버 블로그》, 2013-12-11
같이 보기