사이버 공격 고도화를 이루는 교집합...그 가운데 자리 잡은 ‘키로깅’
다양한 사이버 공격들과 융합해 악용되고 있는 ‘전형적인 사이버 도둑’ 수법
온라인에 국한되는 공격 아냐...오프라인 업무환경도 위협해
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 이소미 기자] 해커에게 ‘누군가의 정보’는 곧 ‘자산’이 된다. ‘정보’에 대한 범위가 한정될 수도 있지만 키보드로 입력하는 글자 하나하나 모두 정보가 된다면 그 범위는 무한대 곧 ‘모든 것’이 될 수 있다. 해커들이 다크웹 등에서 판매하는 악성 멀웨어, 악성 소프트웨어들을 보면 보편적으로 결합해 사용하는 수법이 있다. 바로 ‘키로깅’ 공격이다. 단독으로도 사용 가능하지만, 이를 예방하는 백신·소프트웨어 등도 꽤 보편화되어 있어 해커들은 보다 전략적으로 다양한 공격 수법과 결합해 활용하고 있다. <보안뉴스>는 지금까지도 해커들이 다각도로 활용하고 있는 ‘키로깅’ 수법에 대해 살펴봤다.
[이미지=gettyimagesbank]
△이 주의 보안 용어
키로깅(keylogging) : 키스트로크 로깅(keystroke logging)의 약자
이 공격은 사용자가 입력하는 키보드로 입력하는 킷값 메시지를 몰래 가로채는 기술이나 행위인 후킹(Hooking)에 기반한 공격으로 키로거, 키로그로도 불린다. 이는 사용자가 키보드로 입력하는 모든 내용이 해커에게 모두 여과 없이 전달되는 것을 말하는데, 운영체제에서 처리하는 이벤트나 소프트웨어 프로그램 사이에서 전달되는 메시지들을 중간에 가로채거나 바꾸는 포괄적인 행위를 포함한다. 넓은 의미로 전형적인 ‘정보 가로채기’ 공격이라고 볼 수 있다.
해당 공격을 세분화 해 살펴보면 같은 개념의 공격이지만 보다 다양한 표현들로 불리는 것을 확인할 수 있다. ‘키로깅’은 소프트웨어 프로그램이나 하드웨어 장치를 통해 사용자의 키보드 입력을 추적·기록하는 모니터링 스파이웨어 형태인 반면, ‘키로거’는 소프트웨어 프로그램이나 하드웨어 장치를 통해 컴퓨터의 모든 키스트로크를 캡처하도록 설계된 프로그램이다. ‘키로그’는 생성된 로그로 각각 미세한 차이가 있지만 통상 같은 공격으로 볼 수 있다. 이를 통해 해커들은 △개인의 민감정보·금융정보 뿐만 아니라 △아이디·패스워드 등의 계정 탈취 △사적인 메시지 대화 내용 △회사 기밀정보 작성한 메일 내용 등까지 모두 탈취당할 수 있다.
키로깅 공격은 크게 두 가지로 나뉘는데, 첫 번째는 ‘하드웨어 기반’으로 가장 흔하면서 대표적인 공격 방식으로 △키보드 USB 단자와 본체 USB 포트 사이에 설치해 사용자의 입력값을 훔치는 ‘키보드 하드웨어’다. 이외에도 △무선 키보드와 마우스에서 전송되는 데이터 패킷을 훔치는 ‘스니퍼 하드웨어’ △키보드 위에 덮어씌우는 템플릿을 이용한 ‘오버레이 공격’ △유선 키보드가 방출하는 전자기를 감지해 킷값을 알아내는 ‘전자기 방출 공격’ 등이 있다. 이러한 장치들은 물리적인 신호를 추출해 기록으로 남긴 후 해커에게 전달된다. 물리적 장치로 쉽게 발견할 수 있을 것 같지만, 사실 키보드 하드웨어는 USB와 생김새가 비슷해 위장·은닉이 용이하기 때문에 도리어 분간이 어려울 수 있다. 최근엔 모니터, 마우스 단자를 위장한 하드웨어 키로거까지 등장했다. 또한, 운영체제(OS)에 속하지 않으므로 백신 프로그램 탐지가 어렵다는 점도 큰 위협 요소다.
두 번째로 후킹 프로그램과 같은 악성 프로그램을 소프트웨어 형태로 만드는 방법이다. 이러한 프로그램은 OS에서 사용하는 API로 연결해 발생하는 키보드의 입력을 메시지로 만들어 해커에게 전달한다. 이는 사용자 아이디·비밀번호를 비롯해 각종 중요 정보를 탈취할 수 있다. 소프트웨어형 키로거는 기술에 따라 △하이퍼바이저 기반 △커널 기반 △API 기반 △폼 그래빙 기반 △자바스크립트 기반 △메모리 인젝션 기반 등으로 나눌 수 있다. 소프트웨어형의 경우 백신 및 보안 솔루션을 통해 감지되면 후킹 및 바이러스 경고로 뜨는데 그 즉시 조치해야 한다.
△이런 일이 있었다
키로깅의 경우 공격자들은 스팸메일 등을 통해 악성코드를 유포하고 사용자의 컴퓨터를 감염시킨다. 특히, 웹하드·토렌트 같은 플랫폼은 공격자들이 국내 사용자들을 타깃으로 행하는 대표적인 악성코드 유포지다. 뿐만 아니라 이러한 정보탈취형 멀웨어는 계속 새로운 형태로 등장하고 있는데 공격자들이 직접 개발해 다크웹에서 구독 서비스 형태로 판매하거나 최신 악성코드를 별도로 구매하기도 한다. 다크웹에서 거래 중인 키로깅 기능이 포함된 악성코드로 Remcos, Orcus RAT, 안드로이드 뱅킹 소바(SOVA), 세인트스틸러(Saintstealer), 프린트스틸러(Prynt Stealer) 등을 들 수 있다. 이들은 키로깅 기능 외에도 △원격 제어 기능 △키로깅 △웹캠 △계정 정보 수집 △명령 실행 △스크린샷 △오버레이 공격 등 다양한 악성 기능들을 조합해 판매한다.
이러한 정보 탈취형 멀웨어들은 기업들도 조심해야 하는 주요 보안 위협이다. 특정 보안 솔루션 개발사에서 보안 사고가 빗발쳐 확인해 보니 사내 엔지니어 직원 개인 컴퓨터에서 키로깅 멀웨어가 발견돼 해커가 지속적으로 기업 정보를 빼돌린 정황이 발견된 바 있다.
또한, 개인정보 및 금융정보 탈취를 목적으로 꾸준히 발생하는 보안 위협은 이메일 피싱이다. ‘결제 오류’, ‘특정 기업 사칭’ 등 다양한 방법으로 접근해 악성코드가 포함된 파일을 첨부해 이용자를 속인다. 보통 워드(Word)나 PDF 문서의 아이콘을 위장하고 확장자명을 교묘하게 바꾸는 수법으로 다운로드를 유도한다.
특히, 최근 북한의 공격이 연속적으로 발생하고 있는데 북한의 스카크러프트(ScarCruft)라는 해킹 그룹도 돌핀(Dolphin)이라는 백도어 공격으로 △키로깅 △스크린샷 캡처 △브라우저에 저장된 크리덴셜 탈취 △피해자 시스템 드라이브 모니터링 △특정 파일 빼돌리기 등 다양한 악성 기능을 활용했다. 이를 통해 구글 드라이브와 같은 유명 서비스를 악용해 정보를 빼돌린 것으로 분석됐다.
△피해는 이렇게 막을 수 있다
하드웨어형 키로거의 경우 백신이나, 중앙통제로도 차단이 어렵기 때문에 ‘보안사고의 90%는 인재’라는 사실을 잊지 말고 개개인의 보안의식을 높이는 게 최선의 예방책이다. 이유는 사용자가 직접 확인해 해당되는 특정 장치를 제거해야 하기 때문이다. 특정 젠더 모양의 키보드 로깅 기기 존재 여부를 확인하고 키보드와 PC가 연결된 USB나 PS/2와 같은 표준 키보드·마우스 포트 모양의 출처를 모르는 중간장치가 있는지 확인해야 한다. 이와 같은 물리적인 제거 방법 이외에 하드웨어형 키로거를 사전에 차단할 수 있는 방법으로는 문서중앙화 시스템이나 외부 장치를 허용하지 않는 애플리케이션으로 정보 탈취를 막는 것도 하나의 방법이다.
눈에 보이지 않는 소프트웨어형 후킹 프로그램은 기본적인 바이러스 백신을 통해서도 상당수 탐지 및 차단이 가능하다. 키로깅 공격에 주요 타깃이 되는 금융 사이트는 이용자들의 피해 방지를 위해 키보드 보안 프로그램을 무료로 제공하고 있다. 이렇게 설치된 키보드 보안 프로그램은 이후 해당 금융 사이트에 접속만 해도 자동으로 실행돼 키로깅 여부를 체크해 준다. 쉽고 안전하게 활용할 수 있는 무료 프로그램들을 이용해 해커의 공격을 방어할 수 있다.
이처럼 백신 또는 보안 프로그램을 활용해 공격을 방어하는 것도 중요하지만 애초에 출처를 알 수 없는 URL 첨부파일 등을 다운로드 받지 않는 게 더욱 중요하다. 수신된 메일의 경우, 열람 전 반드시 발신자의 이메일 주소를 꼼꼼히 확인하고, 첨부파일이 있다면 확장자가 정상적인 확장자인지 다시 한 번 확인하는 과정이 반드시 필요하다. 또한, 워드·한글·MS오피스 등 문서 프로그램 개발사에서 제공하는 자체 보안 패치를 최신화하고 각종 OS 취약점을 노리는 공격들도 기본 패치 업그레이드로 충분히 예방이 가능하므로 업데이트를 게을리하지 말아야 한다. 아무리 성능 좋은 보안 프로그램이라도 취약점이 발견된 버전에서는 무용지물이기 때문이다. 최신 버전의 보안 패치 및 업데이트를 늘 생활화해 점점 고도화되는 사이버 위협을 효과적으로 대응하는 습관이 요구된다.
[이소미 기자(boan4@boannews.com)]
다양한 사이버 공격들과 융합해 악용되고 있는 ‘전형적인 사이버 도둑’ 수법
온라인에 국한되는 공격 아냐...오프라인 업무환경도 위협해
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 이소미 기자] 해커에게 ‘누군가의 정보’는 곧 ‘자산’이 된다. ‘정보’에 대한 범위가 한정될 수도 있지만 키보드로 입력하는 글자 하나하나 모두 정보가 된다면 그 범위는 무한대 곧 ‘모든 것’이 될 수 있다. 해커들이 다크웹 등에서 판매하는 악성 멀웨어, 악성 소프트웨어들을 보면 보편적으로 결합해 사용하는 수법이 있다. 바로 ‘키로깅’ 공격이다. 단독으로도 사용 가능하지만, 이를 예방하는 백신·소프트웨어 등도 꽤 보편화되어 있어 해커들은 보다 전략적으로 다양한 공격 수법과 결합해 활용하고 있다. <보안뉴스>는 지금까지도 해커들이 다각도로 활용하고 있는 ‘키로깅’ 수법에 대해 살펴봤다.
[이미지=gettyimagesbank]
△이 주의 보안 용어
키로깅(keylogging) : 키스트로크 로깅(keystroke logging)의 약자
이 공격은 사용자가 입력하는 키보드로 입력하는 킷값 메시지를 몰래 가로채는 기술이나 행위인 후킹(Hooking)에 기반한 공격으로 키로거, 키로그로도 불린다. 이는 사용자가 키보드로 입력하는 모든 내용이 해커에게 모두 여과 없이 전달되는 것을 말하는데, 운영체제에서 처리하는 이벤트나 소프트웨어 프로그램 사이에서 전달되는 메시지들을 중간에 가로채거나 바꾸는 포괄적인 행위를 포함한다. 넓은 의미로 전형적인 ‘정보 가로채기’ 공격이라고 볼 수 있다.
해당 공격을 세분화 해 살펴보면 같은 개념의 공격이지만 보다 다양한 표현들로 불리는 것을 확인할 수 있다. ‘키로깅’은 소프트웨어 프로그램이나 하드웨어 장치를 통해 사용자의 키보드 입력을 추적·기록하는 모니터링 스파이웨어 형태인 반면, ‘키로거’는 소프트웨어 프로그램이나 하드웨어 장치를 통해 컴퓨터의 모든 키스트로크를 캡처하도록 설계된 프로그램이다. ‘키로그’는 생성된 로그로 각각 미세한 차이가 있지만 통상 같은 공격으로 볼 수 있다. 이를 통해 해커들은 △개인의 민감정보·금융정보 뿐만 아니라 △아이디·패스워드 등의 계정 탈취 △사적인 메시지 대화 내용 △회사 기밀정보 작성한 메일 내용 등까지 모두 탈취당할 수 있다.
키로깅 공격은 크게 두 가지로 나뉘는데, 첫 번째는 ‘하드웨어 기반’으로 가장 흔하면서 대표적인 공격 방식으로 △키보드 USB 단자와 본체 USB 포트 사이에 설치해 사용자의 입력값을 훔치는 ‘키보드 하드웨어’다. 이외에도 △무선 키보드와 마우스에서 전송되는 데이터 패킷을 훔치는 ‘스니퍼 하드웨어’ △키보드 위에 덮어씌우는 템플릿을 이용한 ‘오버레이 공격’ △유선 키보드가 방출하는 전자기를 감지해 킷값을 알아내는 ‘전자기 방출 공격’ 등이 있다. 이러한 장치들은 물리적인 신호를 추출해 기록으로 남긴 후 해커에게 전달된다. 물리적 장치로 쉽게 발견할 수 있을 것 같지만, 사실 키보드 하드웨어는 USB와 생김새가 비슷해 위장·은닉이 용이하기 때문에 도리어 분간이 어려울 수 있다. 최근엔 모니터, 마우스 단자를 위장한 하드웨어 키로거까지 등장했다. 또한, 운영체제(OS)에 속하지 않으므로 백신 프로그램 탐지가 어렵다는 점도 큰 위협 요소다.
두 번째로 후킹 프로그램과 같은 악성 프로그램을 소프트웨어 형태로 만드는 방법이다. 이러한 프로그램은 OS에서 사용하는 API로 연결해 발생하는 키보드의 입력을 메시지로 만들어 해커에게 전달한다. 이는 사용자 아이디·비밀번호를 비롯해 각종 중요 정보를 탈취할 수 있다. 소프트웨어형 키로거는 기술에 따라 △하이퍼바이저 기반 △커널 기반 △API 기반 △폼 그래빙 기반 △자바스크립트 기반 △메모리 인젝션 기반 등으로 나눌 수 있다. 소프트웨어형의 경우 백신 및 보안 솔루션을 통해 감지되면 후킹 및 바이러스 경고로 뜨는데 그 즉시 조치해야 한다.
△이런 일이 있었다
키로깅의 경우 공격자들은 스팸메일 등을 통해 악성코드를 유포하고 사용자의 컴퓨터를 감염시킨다. 특히, 웹하드·토렌트 같은 플랫폼은 공격자들이 국내 사용자들을 타깃으로 행하는 대표적인 악성코드 유포지다. 뿐만 아니라 이러한 정보탈취형 멀웨어는 계속 새로운 형태로 등장하고 있는데 공격자들이 직접 개발해 다크웹에서 구독 서비스 형태로 판매하거나 최신 악성코드를 별도로 구매하기도 한다. 다크웹에서 거래 중인 키로깅 기능이 포함된 악성코드로 Remcos, Orcus RAT, 안드로이드 뱅킹 소바(SOVA), 세인트스틸러(Saintstealer), 프린트스틸러(Prynt Stealer) 등을 들 수 있다. 이들은 키로깅 기능 외에도 △원격 제어 기능 △키로깅 △웹캠 △계정 정보 수집 △명령 실행 △스크린샷 △오버레이 공격 등 다양한 악성 기능들을 조합해 판매한다.
이러한 정보 탈취형 멀웨어들은 기업들도 조심해야 하는 주요 보안 위협이다. 특정 보안 솔루션 개발사에서 보안 사고가 빗발쳐 확인해 보니 사내 엔지니어 직원 개인 컴퓨터에서 키로깅 멀웨어가 발견돼 해커가 지속적으로 기업 정보를 빼돌린 정황이 발견된 바 있다.
또한, 개인정보 및 금융정보 탈취를 목적으로 꾸준히 발생하는 보안 위협은 이메일 피싱이다. ‘결제 오류’, ‘특정 기업 사칭’ 등 다양한 방법으로 접근해 악성코드가 포함된 파일을 첨부해 이용자를 속인다. 보통 워드(Word)나 PDF 문서의 아이콘을 위장하고 확장자명을 교묘하게 바꾸는 수법으로 다운로드를 유도한다.
특히, 최근 북한의 공격이 연속적으로 발생하고 있는데 북한의 스카크러프트(ScarCruft)라는 해킹 그룹도 돌핀(Dolphin)이라는 백도어 공격으로 △키로깅 △스크린샷 캡처 △브라우저에 저장된 크리덴셜 탈취 △피해자 시스템 드라이브 모니터링 △특정 파일 빼돌리기 등 다양한 악성 기능을 활용했다. 이를 통해 구글 드라이브와 같은 유명 서비스를 악용해 정보를 빼돌린 것으로 분석됐다.
△피해는 이렇게 막을 수 있다
하드웨어형 키로거의 경우 백신이나, 중앙통제로도 차단이 어렵기 때문에 ‘보안사고의 90%는 인재’라는 사실을 잊지 말고 개개인의 보안의식을 높이는 게 최선의 예방책이다. 이유는 사용자가 직접 확인해 해당되는 특정 장치를 제거해야 하기 때문이다. 특정 젠더 모양의 키보드 로깅 기기 존재 여부를 확인하고 키보드와 PC가 연결된 USB나 PS/2와 같은 표준 키보드·마우스 포트 모양의 출처를 모르는 중간장치가 있는지 확인해야 한다. 이와 같은 물리적인 제거 방법 이외에 하드웨어형 키로거를 사전에 차단할 수 있는 방법으로는 문서중앙화 시스템이나 외부 장치를 허용하지 않는 애플리케이션으로 정보 탈취를 막는 것도 하나의 방법이다.
눈에 보이지 않는 소프트웨어형 후킹 프로그램은 기본적인 바이러스 백신을 통해서도 상당수 탐지 및 차단이 가능하다. 키로깅 공격에 주요 타깃이 되는 금융 사이트는 이용자들의 피해 방지를 위해 키보드 보안 프로그램을 무료로 제공하고 있다. 이렇게 설치된 키보드 보안 프로그램은 이후 해당 금융 사이트에 접속만 해도 자동으로 실행돼 키로깅 여부를 체크해 준다. 쉽고 안전하게 활용할 수 있는 무료 프로그램들을 이용해 해커의 공격을 방어할 수 있다.
이처럼 백신 또는 보안 프로그램을 활용해 공격을 방어하는 것도 중요하지만 애초에 출처를 알 수 없는 URL 첨부파일 등을 다운로드 받지 않는 게 더욱 중요하다. 수신된 메일의 경우, 열람 전 반드시 발신자의 이메일 주소를 꼼꼼히 확인하고, 첨부파일이 있다면 확장자가 정상적인 확장자인지 다시 한 번 확인하는 과정이 반드시 필요하다. 또한, 워드·한글·MS오피스 등 문서 프로그램 개발사에서 제공하는 자체 보안 패치를 최신화하고 각종 OS 취약점을 노리는 공격들도 기본 패치 업그레이드로 충분히 예방이 가능하므로 업데이트를 게을리하지 말아야 한다. 아무리 성능 좋은 보안 프로그램이라도 취약점이 발견된 버전에서는 무용지물이기 때문이다. 최신 버전의 보안 패치 및 업데이트를 늘 생활화해 점점 고도화되는 사이버 위협을 효과적으로 대응하는 습관이 요구된다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
