악의적인 목적으로 사용되는 키로거 (KeyLogger)

column 2009/05/21 04:46


지난 2 주간 키로거를 주제로 글을 올렸습니다.

관리 차원에서 (사용자의 동의하에) 사용되는 키로거가 꼭 나쁘다고 말할 수는 없을것입니다.
문제는 악의적인 목적으로 사용자 몰래 실행되는 키로거 들입니다.

이러한 악의적인 키로거가 왜 생겨나는지에 대해서 글을 써보도록 하겠습니다.



악의적 키로거의 목표

"돈" 입니다.

키로거는 사용자가 입력한 키보드 정보를 저장하고 심지어 빼돌리는 기능을 하지요.
정보화 사회에서 정보는 곧 돈입니다.

어떻게 키로거를 이용해서 돈을 버는지 알아볼까요?
몇가지 사례를 들어보겠습니다.

#1. 온라인 게임

  • 대한민국에 널리고 널린 PC 방 아무데나 가서 몰래 키로거를 설치해 둡니다.
  • 키로거가 설치된 PC 에서 다른 사람이 온라인 게임을 하겠지요?
  • 키로거는 사용자의 계정(ID, Password)를 몰래 저장하여 메일로 전송합니다.
  • 수집한 계정으로 온라인 게임에 접속하여 게임 머니와 아이템을 팔아치웁니다.

온라인 게임을 하시는 분들께서는 게임 머니게임 아이템들이 실제로 현금 거래가 된다는 것을 잘 알고 계실것입니다.
1년에 거래되는 게임 아이템 금액은 일반인들의 상상을 초월합니다.

#2. 인터넷 뱅킹

그렇다면 게임을 안하는 사람들은 키로거의 피해가 없을까요?
좀 더 피부로 와닿는 사례는 인터넷 뱅킹입니다.
만약 여러분의 인터넷 뱅킹 계정(ID, Password, 계좌번호) 정보를 빼간다면 어떨까요?

자신도 모르게 어느 순간 통장의 잔고가 0 이 되버렸다면...

위 얘기는 제가 지어낸 말이 아니고 지금 실제로 국내/해외에서 벌어지고 있는 일입니다.
전세계적으로 게임 아이템을 도난당한 사례는 이제 더이상 기사거리도 되지 않고요,
특히 남미(멕시코, 브라질, 기타)에서는 인터넷 뱅킹으로 수백만 달러의 피해를 당한 사람들이 속출하고 있습니다.

우리나라는 그나마 인터넷 뱅킹을 하기 위해서는 반드시 IE 를 사용해서 접속해야 하고,
은행 사이트에 ActiveX 보안 모듈을 이용하여 2중 3중으로 보안장치를 마련해놨다곤 하지만,
그 누구도 100% 안전하다고 장담할 수는 없는 상황입니다.

#3. 기업 정보 유출

간간히 언론에 대기업의 핵심 비밀 정보가 외국으로 유출되어 막대한 피해를 입었다는 기사를 접할 수 있습니다.
이러한 기업 정보 유출 사례는 비록 껀수가 그리 많지 않지만 일단 발생하면 그 피해 규모가 어마어마 합니다.
(몇 년간 수천억원을 들여서 힘들게 개발한 핵심 기술이 유출되면 해당 기업은 존폐위기에 몰릴 수도 있겠지요.)

더구나 우리나라의 핵심 산업인 반도체, 자동차, 조선 등의 핵심 기술이 외국으로 유출되면 그야말로 국가 위기 상황이 벌어질 수도 있는 것이지요.

더 문제가 되는 것은 내부에 동조자가 있는 경우가 많다는 것입니다.
내부에 동조자가 있다면 키로거를 설치하기에 매우 좋은 상황이 되는 것이지요.

+---+

이제 키로거의 위험성이 좀 느껴지시나요?

왜 대부분의 Anti-Virus 제품들이 키로거를 '악성' 파일로 분류하는지 아시겠지요?
왜 인터넷 뱅킹(혹은 온라인 게임)을 하려고 해당 사이트에 접속할 때 ActiveX 보안 모듈로 도배를 해놨는지 이해하시겠지요?



키로거의 종류와 향후 발전 방향

아래 그림을 한번 보시죠.


사진 출처 : http://www.thinkgeek.com/gadgets/electronic/5a05/

이것은 소위 "하드웨어 키로거"라고 하는 제품입니다.

내부에 flash memory 를 내장하고 있어서 키보드로 부터 들어오는 전기신호를 직접 입력받아 저장하는 장치입니다.
설치와 수거문제가 있긴 하지만 일단 설치되면 사용자는 자신이 키로깅 당한다는 사실을 절대로 알 수 없을 겁니다.
누가 책상밑에 놓여 있는 PC를 (그것도 뒷면을) 자세히 보려고 하겠습니까? (일반인들은 봐도 모를겁니다.)

소프트웨어적으로는 이러한 하드웨어 키로거들을 막을 수 없습니다.

소프트웨어 키로거들에 대해서는 각종 Anti-Virus 프로그램들과 키보드 보안 프로그램들이 키로거를 차단하기 위해서 노력하고 있습니다만, 악의적 키로거를 생성하는 사람들의 목표(=돈)가 너무나 뚜렷하기 때문에 모든 키로거의 완벽한 차단은 불가능합니다.

키로거 프로그램 제작자들은 주로 개발도상국, 후진국에 많다고 합니다.
주로 선진국을 대상으로하여 무차별적으로 키로거를 생성/배포시키고 있습니다.
그들 입장에서는 자신들의 생계가 걸려있는 핵심 사업(?)이지요.
자신들이 만든 키로거 프로그램이 각종 보안모듈에 잡히지 않도록 전부 테스트 해서 내보내는 센스를 갖추고 있는 것입니다.

키로거는 앞으로 더 정교하고 은밀하게 발전해 나갈것입니다.
우리가 입력장치로 키보드를 계속 쓰는 한은 말이지요.

키보드를 안쓰면 키로거의 위협에서 자유로울까요?
상식적으로 생각해서... 기존 키로거 제작자들이 그꼴을 그냥 두고 보겠습니까? ^^ 또 뭔가를 만들어내겠지요.

미래에 키보드가 없어지고 대신에 "필기인식" 혹은 "음성인식" 장치가 널리 사용된다면
반드시 그에 상응하는 "필기로거", "음성로거"가 만들어 질것입니다.



키로거에 대처하는 우리의 자세

키로거를 100% 막을 수는 없지만 노력에 따라서는 피해를 최소화 시킬 수 있습니다.

제가 제안하는 간단한 행동수칙입니다.

- 공공장소(PC방, 학교실습실, 기타)의 PC 에서는 개인정보를 아예 입력하지 말것
- 보안 프로그램을 항상 최신으로 업데이트 시킬것
- 개인 정보 입력에 Copy(Cut) & Paste 를 활용해 볼것 (*)
- 개인 방화벽을 사용할 것 (키로깅을 당하더라도 정보가 유출되지만 않으면 되지 않겠습니까?)

(*) 만약 ID 가 reversecore 라면 corereverse 라고 입력한 후 마우스로 core를 선택해서 Cut & Paste 기능으로 reversecore 로 만들어 내는 겁니다. 사람마다 다양한 응용이 가능하겠지요? 귀찮음을 감수하는 대신 보안을 약간 높일 수 있습니다.
=> 물론 고급 키로거는 클립보드까지 후킹하기 때문에 이 방법도 소용없습니다만 아마추어 (저급) 키로거에게는 효과가 있습니다.


+---+

글을 끝마치면서 한 가지만 더 강조하겠습니다.

개인정보는 말 그대로 개인이 소중히 여기고 보호하는 마음을 가져야 겠습니다.

특히 비밀번호는 자신만이 알 수 있도록 복잡하게(숫자+문자+특수문자 조합하고 최소8자리 이상으로) 설정하고 절대로 남에게 알려주지 말아야 합니다.

사회공학기법 관련 책을 보면 전문적으로 키보드 입력을 훔쳐보는 해커에 대한 이야기가 나옵니다.
1미터 정도 떨어진 거리에서 신문보는 척하면서 어깨너머로 남들의 키보드 입력을 훔쳐보는 기술입니다.
그야말로 '생활의 달인'이 따로 없습니다.

자신의 소중한 개인정보를 잘 지킵시다~~~



'column' 카테고리의 다른 글

책소개  (82) 2010/09/06
리버서의 연륜을 말해주는 Opcode Manual  (23) 2010/08/31
리버싱의 참 맛  (18) 2009/12/04
UPack 의 추억  (8) 2009/09/21
DDoS 사이버 테러의 3대 의혹 (누가? 왜? 어떻게?)  (8) 2009/07/10
창의성과 경험 (바둑과 장기, 프로그래밍과 리버싱)  (22) 2009/06/29
Packer 와 Protector  (9) 2009/06/23
악의적인 목적으로 사용되는 키로거 (KeyLogger)  (13) 2009/05/21
좋은 분석 도구(tool)를 선택하는 5 가지 기준  (5) 2009/03/18
Reverse Code Engineering (2)  (14) 2009/02/28
Reverse Code Engineering (1)  (18) 2009/02/25
, , , , , , , , , , , ,
트랙백 0 : 댓글 13

Trackback Address :: http://www.reversecore.com/trackback/31 관련글 쓰기

  1. 베리굿 2009/11/07 22:24 댓글주소 | 수정 | 삭제 | 댓글

    감사합니다.

  2. kkanchu 2009/12/31 18:16 댓글주소 | 수정 | 삭제 | 댓글

    굿굿굿 여기서 많이배워가게되는군요 감사합니다

  3. 인터맨 2010/04/12 17:52 댓글주소 | 수정 | 삭제 | 댓글

    주인장님 질문하나 드리겠습니다. 뒤늦게 키로거의 심각성에 놀라고 있는 유저입니다.
    키로거는 한번도 사용해보지 못해서 어떤 스타일로 저장이 되는지는 잘 모르겠구요.
    키로거 테스트 (AntiTest)라는 프로그램을 사용해보니 가관이더군요.
    머리를 굴려봤지만 하드는 물론이고 소프트웨어 고급 키로거가 깔린 컴에선 속수무책으로 당하겠더군요.

    제가 궁금하고 이해가 안가는 것은요. 패스워드 관리 전문툴들 말인데요. 알패스, 로보폼, 키패스 등등...
    잘아시겠지만 이 프로그램들은 타이핑을 하지 않더라도 바로 폼, 또는 패스워드칸에 패스워드를 뿌려줍니다.
    그래서 키로거 데이타에도 안 잡히는 걸로 여지껏 알고 있었는데 말이죠.

    제가 사용했던 antitest 프로그램 경우엔 뭐 이런거까지 다 잡아내주더군요.
    문서, 압축파일, 인터넷사이트 등등.. 모든 패스워드를 동일하게 쓸 수는 없는 일이고.
    동일하게 쓰더라도 수시로 입력하긴 참 짜증나는 일입니다. 그래서 어쩔 수 없이 좋던 싫던 패스워드 툴을 이용할 수 밖에 없는데요.
    이런 프로그램이 뿌려주는 패스워드조차 잡아낸다면 정말 방법이 없을 거 같네요.

    그런데 이해가 안가서 말이죠. 클립보드에서 잡히는 것도 아니고 키로킹 코너에서 잡혀버리니...
    어찌된 일인지 모르겠습니다. 타이핑을 하지도 않았는데 말이죠.
    실제 키로거에선 잡아내지 못하는데 antitest란 프로그램이 보여지는 건지 아니면 키로거에서도 실지로 잡아내는 건지 그게 참 궁금하네요. 혹 아신다면 도움 좀 주셨으면 고맙겠습니다.

    • reversecore 2010/04/12 22:26 댓글주소 | 수정 | 삭제

      인터맨님, 안녕하세요.

      antitest 라는 프로그램이 일종의 키로거 인가 보군요.
      패스워드 관리 툴이라는 것도 처음 들어봤네요. ^^

      질문하신 내용을 읽어보니 패스워드 관리툴을 이용하여 키보드를 입력하지 않고 자동으로 패스워드를 입력하는 경우에도 antitest 라는 키로거는 그것들을 전부 키로깅 할 수 있다는 말씀이시죠?

      인터맨님께서는 그 원리가 궁금하신 것이구요?

      제가 그 모든 동작원리를 알지 못하기 때문에 정확히 어떤 방식으로 동작하는지 설명드릴수는 없습니다만,

      패스워드 관리 툴의 동작원리를 분석한다면 그걸 후킹하는 방법 또한 알아 낼 수 있다고 생각합니다. 또한 관리 툴 입장에서는 자신의 허점을 보완하고 새로운 기술을 사용할 것이구요.

      마치 창과 방패의 싸움처럼 말이지요.

      antitest 라는 프로그램을 보고 싶네요.
      제게 보내주실 수 있으시다면 한번 분석해서 동작원리를 설명드릴 수도 있겠네요.

      감사합니다.

  4. 인터맨 2010/04/13 22:38 댓글주소 | 수정 | 삭제 | 댓글

    안녕하세요.
    http://www.spyshelter.com/download.html 입니다. 키로거 테스트 프로그램이구요.
    원리도 궁금하고요. 제가 가장 궁금한 건 실지 키로거 프로그램들이 위 프로그램처럼 타이핑을 하지 않고 뿌려대는 패스워드도 캐치가 가능한건지 그게 가장 궁금하군요.

    • reversecore 2010/04/15 03:18 댓글주소 | 수정 | 삭제

      인터맨님, 안녕하세요.

      해당 키로거를 분석한 후 이곳에 댓글로 알려드리겠습니다.
      혹시 메일을 알려주시면 메일로도 알려드릴께요~

      감사합니다.

  5. 인터맨 2010/04/28 23:24 댓글주소 | 수정 | 삭제 | 댓글

    3일에 한번씩 들러보는데 별다른 추가 답변이 없으셔서리...
    아직도 많이 바쁘신가 보네요. 전 프로그래밍은 전혀 모릅니다.
    그래서 어떤 세세한 분석을 말씀해주셔도 잘 모르구요.

    단지 키로거들이 타이핑을 하지 않고 패스워드를 뿌려주는 구조의 패스워드관리 프로그램의 패스워드 입력스타일도 캐칭이 가능 한 건지 그것이 궁금했거든요.

    제가 알기론 캐칭이 안되는 걸로 알고 있는데 링크의 키로거테스트 툴은 캐칭이 되서 말이죠.

    • reversecore 2010/05/01 23:42 댓글주소 | 수정 | 삭제

      인터맨님, 안녕하세요.

      제가 사과를 드려야 겠습니다.
      기다리시게해서 죄송합니다.
      약속을 못지켜 드렸네요. ㅠㅠ

      소개해 주신 프로그램은 일종의 보안 모듈이더라구요.
      즉, 키로거를 잡아내는... V3 나 알약 같은 AV 프로그램 말이지요.

      파일 크기가 엄청나서 간단히 분석하기 어려웠구요.
      드라이버를 이용해서 커널 후킹을 이용합니다.

      원하시는 답변은 "가능하냐 아니냐" 이신것 같습니다.

      패스워드를 뿌린다는 말은 결국 SendMessage() 를 이용해서 문자열을 타겟 에디트박스 컨트롤 윈도우에 보낸다는 얘기지요.

      이 자체를 후킹하면 됩니다. 즉, 외부 프로세스에서 윈도우 메시지가 전달되면 이를 분석하여 에디트 박스에 뭔가를 쓰거나 혹은 쓰는 내용을 읽어간다고 판단되면 alert 를 띄우는 방식이지요.

      제가 추측한 방법이 맞다면... 가능합니다...

      그리고 제가 직접 테스트 해본건 아니지만 윈도우 클립보드를 엿볼 수 있는 방법이 있으니 이를 통한 문자열 전송 방식도 키로거에게 걸릴수 있지요. 물론 키로거 탐지 모듈한테도 걸리겠지만요.

      답변이 늦어져서 다시한번 사과 드립니다. ^^

  6. 인터맨 2010/05/05 15:17 댓글주소 | 수정 | 삭제 | 댓글

    자세한 답변 고맙습니다. 도움이 되었어요. 종종 좋은 정보 열람하러 들리겠습니다.
    저한텐 너무 어려운 수준입니다만 ㅠ

    • reversecore 2010/05/05 22:06 댓글주소 | 수정 | 삭제

      인터맨님, 안녕하세요.

      별로 도움을 드리지 못했네요.

      위 내용들이 어렵게 느껴지실 수 있습니다.

      향후에 잘 이해안가는 부분 있으시면 질문을 올려주시기 바랍니다.

      감사합니다.

  7. 김주한 2010/05/06 09:40 댓글주소 | 수정 | 삭제 | 댓글

    좋은 정보 감사합니다
    저의 홈에도 링크하였음니다 양해 부탁드립니다.

    http://www.ytn.co.kr/_ln/0105_201005060006223432 YTN에
    보니 화면해킹도 일반 사용자를 상대한 해킹으로 위험성이 높아보입니다

    키로거와 화면해킹에 대응할 방법으로 일본에 특허출원중에 있는
    네트키와 가상금고 http://www.gil-net.com 를 고수님이 보시고 평가부탁드립니다
    지금까지 없던 개념이라 일반사람들은 잘 이해하지 못하는 것 같은데
    보안 전문가분들은 이해가 되리라 생각됩니다. 관심이 있으시면 메일 부탁드립니다

  8. 흠; 2011/07/19 01:17 댓글주소 | 수정 | 삭제 | 댓글

    그 미래가 이젠 다가왔군요 ㅎㅎ

◀ PREV : [1] : ... [58] : [59] : [60] : [61] : [62] : [63] : [64] : [65] : [66] : ... [91] : NEXT ▶