키로깅

키로깅(keylogging)은 ‘키스트로크 로깅(keystroke logging)’의 약자. 키로거는 소프트웨어 프로그램이나 하드웨어 장치를 통해 사용자의 키보드 입력을 추적, 기록하는 활동 모니터링 스파이웨어의 한 형태이다. 키로깅, 키로거, 키로그가 사용되기도 하지만 키로깅은 공격 기법, 키로거는 사용되는 프로그램, 키로그는 생성된 로그로 각각 다른 것들을 의미한다. 하드웨어, 소프트웨어를 활용한 방법에서부터 전자적, 음향기술을 활용한 기법까지 다양한 키로깅 방법이 존재한다.

개요

일반적인 컴퓨터뿐 아니라 태블릿, 휴대폰 역시 키로깅의 타겟이 될 수 있으며, 불법 해킹의 목적 외에도 IT 조직의 모니터링 활동이나 인간-컴퓨터 상호작용을 연구하는 과정에서도 키로깅이 활용된다. 대개 사용자의 동의 없이 기록을 만들고 전송하는 방식의 크래킹 도구로 쓰인다.^[1]

일반적으로 키보드로 정보를 입력하면 운영체제(OS)에서 처리하여 모니터에 해당 정보를 보여주게 된다. 키로깅 프로그램은 키보드에서 입력한 정보를 운영체제에서 처리할 때 정보를 가로채 파일 등으로 저장하였다가 지정된 서버로 파일을 전송하여 정보를 빼낸다. 키로깅 프로그램이 설치되어 있으면 인터넷 사이트에 로그인하는 정보, 사적으로 주고 받은 메신저의 대화, 회사의 기밀정보를 작성한 메일 등 키보드로 입력한 모든 정보를 알 수 있기 때문에 개인정보 및 기밀정보의 유출로 이어질 수 있다.^[2] 마우스 클릭이나 키보드 입력 시 지연이 발생하거나 타이핑한 내용이 스크린에 나타나지 않는 경우 키로깅을 의심해볼 수 있다.

키로거를 실제로 사용한 것은 1970년 대 냉전 시기 소련이 러시아의 기밀정보를 빼돌리기 위해 사용한 것으로 보고되었다. 모스크바 레닌그라드(현 상트페테르부르크) 주재 미국대사관의 타자기들에 몰래 하드웨어 키로거를 설치해 최소 8년 동안 외교 기밀정보를 빼돌리다가 발각되었다. 이 키로거는 ‘IBM 셀렉트릭’이라는 타자기의 상품을 따와 ‘셀렉트릭 버그(Selectric Buf)’라고 불렸다. 글자를 입력하는 프린트 헤드에서 발생하는 자기교란 현상을 활용해 헤드의 움직임을 파악하여 대사관 밖의 소련 정보원들이 특수 라디오를 통해 타자기에 입력되는 정보를 수신하는 방식으로 작동했다. 앞에서 나온 키로거는 하드웨어 형태의 키로거로 최초의 소프트웨어 형태의 키로거는 미국 컴퓨터 공학자 페리 키볼로위츠가 1983년 공개한 소스코드이다. 대학원원생이던 키볼로위츠가 유즈넷에 유닉스 커널로 만들어진 문자 목록을 추적하는 프로그램을 공개해 당시 전문가들의 주목을 받았다.^[3]

긍정적인 활용

윈도우 10의 경우 사용자의 정보 수집을 위한 키로깅 프로그램을 공식적으로 운영하고 있으며 이 기능은 설정을 통해 비활성화할 수 있다. 미국 정보수사기관(FBI)가 1999년 키로거 설치 전략을 활용하여 마피아 보스를 검거했고, 마약 단속국(EDA)가 2007년 키로거를 활용해 엑스터시(MDMA) 제조 설비를 적발한 사례가 있다. 그러나 키로깅의 최대 사용처는 해킹 분야다.^[4]위와 같은 방식 외에도 컴퓨터 고장 후 중요한 정보를 복구하는데 사용할 수 있고, 사용자의 컴퓨터가 자신이 사용한 시간 외에 사용되는 지 확인할 수 있다. 직원 모니터링 소프트웨어, 자녀 보호 소프트웨어, 액세스 제어 소프트웨어, 개인 보안 프로그램 등이 현재 사용되고 있으며 이 프로그램들을 사용하기 위해서는 사용자의 컴퓨터에 대한 관리자 권한이 있어야한다.^[5]

부정적인 활용

키로깅은 종종 악성코드 패키지의 한 부분으로서 사용자의 인식없이 컴퓨터에 설치되기도 한다. 그렇기 때문에 자신의 컴퓨터에 키로깅 프로그램 설치 사실을 알지 못해 오랜 기간 동안 지속적으로 중요한 정보가 유출될 위험이 있다. 2013년 12월 4일 미국의 CNN머니는 페이스북, 구글, 트위터 등 주요 인터넷,소셜네트워크서비스(SNS) 사용자의 아이디와 비밀번호 200만건이 유출되었다고 보도했다. 이것은 2013년 10월 21일부터 키로깅 프로그램이 세계 전역에서 광범위하게 작동한 것으로 페이스북 계정 31만 8천개, 구글 지메일 계정 7만개, 트위터 계정 2만 2천개 등이 유출되었다고 한다.^[6]

자주 발생하는 유형

공용 컴퓨터

공용 컴퓨터들은 키로깅 소프트웨어와 하드웨어의 설치에 매우 취약하다. 공용 컴퓨터들은 아무나 기계에 대한 접근을 얻고 몇 분 안에 비밀리에 키로거를 설치할 수 있기 때문이다.

게임

온라인 게임 사업에서 기록을 훔치고 사용자의 온라인 게임 계정을 해킹하기 위한 용도로 키로깅이 유행하고 있다.

금융기관

금융기관들은 키로거들의 대상이 되고 있으며, 특히 PIN 패드나 스크린 키보드를 사용하지 않는 산업에서 더욱 뚜렷한 현상을 보인다. 2011년, 농협 전산망 자료가 대규모로 손상되어 최장 18일간에 걸쳐 전체 또는 일부 서비스 이용이 불가능했던 사건 또한 키로깅을 활용한 수법이다.

자녀 보호 소프트웨어

대표적인 자녀 보호 소프트웨어는 2012년 대한민국 정부의 개발 지원 및 후원으로 무료 배포된 스마트 보안관 앱으로 보호자가 아이의 온라인 활동을 제어할 수 있게 해주는 프로그램이다. 정부는 19세 이하 사용자들의 스마트폰에 설치할 것을 요구하고 있으며, 부모가 아이들의 스마트폰 사용 위치, 사용 시간, 사용 앱, 방문 사이트를 모니터링 할 수 있고, 다양한 웹사이트의 접속을 차단할 수 있을 뿐만 아니라, 사용중인 앱의 제거 및 스마트폰 전원 끄기까지 할 수 있다. 스마트 보안관은 이점도 있지만, 공식적인 협의 없이 10대들의 휴대폰에 감시 카메라를 설치하는 것과 같기 때문에 사생활 침해에 대한 비판을 받았다.^[7]

개인적인 사용

본인의 주변 사람이나 배우자, 애인 등을 염탐하려는 목적으로 설치되는 경우가 많다. 이 외에도 개인의 필요에 의해 악용되는 경우가 많다.

분류

하드웨어 키로깅

하드웨어 키로깅은 일반적으로 USB 포트를 사용하여 키입력 값을 가로채는 기법이다. 하드웨어 키로깅이 위험한 이유는 백신 프로그램으로 잡을 수 없기 때문이다. 키보드 입력을 메모리에 기록하며, 특정 문자열을 입력해야만 이동식디스크로 인식해 볼 수 있다. 또한, USB와 생김새가 비슷해 위장이나 은닉이 용이하다. 최근엔 모니터, 마우스 단자를 위장한 하드웨어 키로깅까지 등장해 사용자의 개인정보를 위협하고 있다.^[3]

하드웨어 방식의 유형^[3]

키보드 하드웨어: 키보드 단자와 본체 USB 포트 사이에 설치해 사용자의 입력 값을 훔친다.
스니퍼 하드웨어: 무선 키보드와 마우스에서 전송되는 데이터 패킷을 훔친다.
오버레이 공격: 키보드 위에 덮어씌우는 템플릿을 이용한다.
전자기 방출 공격: 유선 키보드가 방출하는 전자기를 감지해 킷값을 알아낸다.

소프트웨어 키로깅

소프트웨어 키로깅은 사용자의 키입력을 추출하기 위해 주로 다음과 같은 방법이 활용된다.

소프트웨어 방식의 유형

소프트웨어 프로그램 해킹: 비밀리에 설치한 소프트웨어 프로그램으로 구성되며, 직접 다운로드하거나 피싱 공격 및 원격조정으로 설치된다.
메모리 해킹“ 자바 스크립트(웹 사이트에 삽입), API(응용 프로그램 내 실행), 웹 양식(웹 양식에 제출된 모든 데이터 기록) 등 실행중인 프로세스 메모리 속 키입력 값을 탈취하는 기법이다.
DLL 인젝션: 다른 프로세스에 특정 DLL 파일을 강제로 삽입시키는 방식이다. 프로세스에 로딩된 DLL 라이브러리는 메모리에 대한 접근 권한이 생기므로 원하는 어떤 행동이라도 수행 가능하다.^[8]
드라이버 해킹: 기존 키보드 드라이버를 대체해 먼저 실행될 수 있도록 한 후, 키입력 값을 가로챈다. 이는 별도의 보안 드라이버를 사용하는 방식으로 대처할 수 있다.
SSL 후킹: 특정 프로세스의 소켓 관련 함수를 후킹(가로채기)하여 SSL 암호화 전의 HTTP 데이터를 훔친다.

예방 및 대안

기본적인 방법

키로깅 프로그램은 한번 설치되면 이를 발견해 제거하기 어렵기 때문에 이용자가 PC를 사용하는 과정에서 프로그램이 설치되지 않도록 하는 것이 최선이다. 반드시 정품 소프트웨어를 사용하고 신뢰할 수 있는 사이트에서 다운로드 받은 프로그램만 설치하는 것이 좋다. 스파이 웨어 차단 프로그램을 설치하고 제한된 사용자 모드를 사용하고, 출처가 불분명한 메일이나 링크는 열어보지 않는 것이 좋다.

프로그램 업데이트

키로거 공격 중 윈도우 OS의 취약점을 노리는 방식은 윈도우 기본 패치 업그레이드를 통해 예방할 수 있다. 자신이 사용하고 있는 윈도우가 최신 버전인지 확인하고, 구 버전일 경우 업데이트 하는 것이 좋다. 워드나 한글 등 문서 프로그램 개발사에서 제공하는 자체 보안 패치를 최신화하는 것 또한 키로깅을 예방한는 방법 중 하나로 볼 수 있다.^[3]

로그인 설정

처음 사용하는 기기에서 계정에 로그인 할 경우 알림 메시지를 보내주는 ‘로그인 알림’기능과 휴대폰으로 전달되는 추가 비밀번호를 입력해야만 접속할 수 있도록 하는 ‘로그인 승인’같은 기능들을 이용하면 해커가 사용자의 계정으로 접근할 경우 빠르게 알아채고, 조치를 취할 수 있다.^[6]

가상 키보드 시스템

금융 관련 웹사이트나 공공기관 웹사이트의 경우 개인 정보를 입력하거나 인증서의 암호를 입력하는 등 중요한 정보를 입력할 때 가상 키보드 프로그램 설치를 권장하여 가상 키보드를 통해 입력하도록 한다. 가상 키보드를 사용하면 마우스를 이용하여 문자를 입력하기 때문에 키로깅을 근본적으로 차단할 수 있다. 다만 현재 주로 사용되는 가상키보드는 문자를 임의로 배열한 것을 사용자에게 보여주어 가독성이 떨어지고, 입력 시간이 지연된다는 단점이 잇다.

키보드 해킹 방지 프로그램

키보드 해킹 방지 프로그램을 사용하여 키로깅 프로그램의 작동 방식을 우회하는 방법도 있다. 예를 들어 로그인 할 때, 아이디의 일부를 입력한 뒤 비밀번호의 일부를 입력하고, 다시 아이디의 나머지와 비밀번호의 나머지를 순서대로 입력하는 것이다. 이렇게 하면 정보를 가로채기 하더라도 실제 아이디와 비밀번호를 찾기가 어렵게 된다.^[2]

백신 및 안티 키로거

키로깅 피해를 입고 있다고 의심되는 경우, 적발 회피 맬웨어를 확인, 제거할 수 있는 전용 백신 소프트웨어인 ‘루트킷 맬웨어’(rootkit malware) 설치를 권장한다. 비슷한 백신으로는 맬웨어바이츠(Malwarebytes), 카스퍼스키(Kaspersky), 소포스(Sophos), 맥아피(McAfee), F-시큐어(F-Secure) 등 여러 가지가 있다.^[4] 키로깅 소프트웨어의 탐지를 위해 설계된 소프트웨어인 안티 키로거를 사용하는 방법도 있지만 이 경우 합법적인 키로거 프로그램과 불법적인 키로거 프로그램을 구별하지 못해 모든 키로깅 프로그램들을 삭제하기 때문에 합법적인 키로깅 프로그램을 이용하는 사용자에겐 좋지 않은 선택지이다.

각주

↑ 키로거 나무위키 – https://namu.wiki/w/%ED%82%A4%EB%A1%9C%EA%B1%B0
↑ ^2.0 ^2.1 개인정보보호, 〈키로깅(Key Logging)프로그램 이란?〉, 《네이버 블로그》, 2013-12-11
↑ ^3.0 ^3.1 ^3.2 ^3.3 양원모 기자, 〈입력하는대로 샤샤샥, 키 로거 공격 〉, 《보안뉴스》, 2019-06-11
↑ ^4.0 ^4.1 Violet Blue, 〈“어디에나 있고 누구든 위협한다” 키로거 공격방식과 대처법〉, 《아이티월드》, 2017-06-30
↑ 키로거 란 무엇인가 INFORMATION SECURITY CENTER - https://www.bezpeka.com/it-security-terms/view/What_is:Keylogger/ko
↑ ^6.0 ^6.1 나확진 기자, 〈‘키로깅’바이러스, 구글 등 사용자정보 200만건 훔쳐(종합)〉, 《연합뉴스》, 2013-12-05
↑ 스마트보안관 위키백과 - https://ko.wikipedia.org/wiki/스마트보안관
↑ 와꼬와트라, 〈DLL인젝션 개념〉, 《티스토리》, 2015-10-30

참고자료

키로거 나무위키 – https://namu.wiki/w/%ED%82%A4%EB%A1%9C%EA%B1%B0
개인정보보호, 〈키로깅(Key Logging)프로그램 이란?〉, 《네이버 블로그》, 2013-12-11
양원모 기자, 〈입력하는대로 샤샤샥, 키 로거 공격 〉, 《보안뉴스》, 2019-06-11
Violet Blue, 〈“어디에나 있고 누구든 위협한다” 키로거 공격방식과 대처법〉, 《아이티월드》, 2017-06-30
키로거 란 무엇인가 INFORMATION SECURITY CENTER - https://www.bezpeka.com/it-security-terms/view/What_is:Keylogger/ko
나확진 기자, 〈‘키로깅’바이러스, 구글 등 사용자정보 200만건 훔쳐(종합)〉, 《연합뉴스》, 2013-12-05
스마트보안관 위키백과 - https://ko.wikipedia.org/wiki/스마트보안관
와꼬와트라, 〈DLL인젝션 개념〉, 《티스토리》, 2015-10-30

같이 보기

이 키로깅 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 지도, 산업, 기업, 단체, 업무, 생활, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[1] 키로거 나무위키 – https://namu.wiki/w/%ED%82%A4%EB%A1%9C%EA%B1%B0

[.E2.80.9C.ED.82.A4.EB.A1.9C.EA.B9.85.ED.94.84.EB.A1.9C.EA.B7.B8.EB.9E.A8.E2.80.9D-2] 2.0 ^2.1 개인정보보호, 〈키로깅(Key Logging)프로그램 이란?〉, 《네이버 블로그》, 2013-12-11

[.E2.80.9C.ED.82.A4.EB.A1.9C.EA.B1.B0.EC.97.90.EB.8C.80.ED.95.98.EC.97.AC.E2.80.9D-3] 3.0 ^3.1 ^3.2 ^3.3 양원모 기자, 〈입력하는대로 샤샤샥, 키 로거 공격 〉, 《보안뉴스》, 2019-06-11

[.E2.80.9C.ED.82.A4.EB.A1.9C.EA.B1.B0.EC.9D.B4.EC.9A.A9.EC.B2.98.EB.B0.8F.EB.8C.80.EC.95.88.E2.80.9D-4] 4.0 ^4.1 Violet Blue, 〈“어디에나 있고 누구든 위협한다” 키로거 공격방식과 대처법〉, 《아이티월드》, 2017-06-30

[5] 키로거 란 무엇인가 INFORMATION SECURITY CENTER - https://www.bezpeka.com/it-security-terms/view/What_is:Keylogger/ko

[.E2.80.9C.EC.82.AC.EC.9A.A9.EC.9E.90.EC.A0.95.EB.B3.B4.EC.9C.A0.EC.B6.9C.EA.B8.B0.EC.82.AC.E2.80.9D-6] 6.0 ^6.1 나확진 기자, 〈‘키로깅’바이러스, 구글 등 사용자정보 200만건 훔쳐(종합)〉, 《연합뉴스》, 2013-12-05

[7] 스마트보안관 위키백과 - https://ko.wikipedia.org/wiki/스마트보안관

[8] 와꼬와트라, 〈DLL인젝션 개념〉, 《티스토리》, 2015-10-30

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

위키원

이름공간

변수

보기

더 보기

검색

키로깅

목차

개요