키로깅

3. 종류

마우스 조작을 기록하는 것도 데이터 로거의 일종으로 취급된다.

3. 1. 소프트웨어 키로거

• 하이퍼바이저 기반: 운영체제 아래에서 실행되는 맬웨어 하이퍼바이저에 존재한다. 블루 필이 개념적인 예시이다.
• 커널 기반: 루트 권한을 얻어 커널을 통과하는 키 입력을 가로챈다. 커널 레벨에 존재하여 탐지하기 어렵고, 루트킷으로 구현되어 매우 강력하다.
• API 기반: 키보드 API를 후킹하여 키 입력 이벤트를 등록하고 기록한다. GetAsyncKeyState(), GetForegroundWindow() 등의 윈도우 API가 사용된다.^[17]
• 폼 획득 기반: 사용자가 웹 폼을 작성하고 제출할 때 폼 데이터가 인터넷을 통해 전송되기 전에 기록한다.
• 자바스크립트 기반: 악성 스크립트 태그가 대상 웹 페이지에 주입되어 키 이벤트를 감시한다. 사이트 간 스크립팅, 브라우저 내 중간자 공격, 중간자 공격 등 다양한 방법을 통해 주입될 수 있다.^[19]
• 메모리 주입 기반: 브라우저 및 기타 시스템 기능과 관련된 메모리 테이블을 변경하여 로깅 기능을 수행한다. 제우스 및 스파이아이 트로이 목마가 이 방법을 사용한다.^[20]

3. 1. 1. 소프트웨어 키로거의 응용

• 글쓰기 전략 설명
• 아동의 글쓰기 발달 (글쓰기 어려움 유무 포함)
• 철자법
• 제1 언어 및 제2 언어 쓰기
• 번역 및 자막 제작과 같은 전문 기술 분야

3. 1. 2. 소프트웨어 키로거의 기능

• 클립보드 로깅: 클립보드에 복사되는 모든 내용을 캡처한다.
• 화면 로깅: 스크린샷을 찍어 그래픽 정보를 캡처한다. 전체 화면, 특정 애플리케이션, 마우스 커서 주변 등을 주기적 또는 사용자 행동(예: 마우스 클릭)에 따라 캡처할 수 있다. 화면 키보드 입력 데이터를 캡처하는 데 사용된다.
• 프로그래밍 방식 컨트롤 텍스트 캡처: 마이크로소프트 윈도우 API를 통해 특정 컨트롤의 텍스트 값을 요청하여 비밀번호 마스크(주로 별표) 뒤에 숨겨진 비밀번호까지 캡처할 수 있다.^[24]
• 방문 웹사이트, 열린 프로그램/폴더/창 기록 (스크린샷 포함).
• 웹 검색어, 인스턴트 메신저 대화, FTP 다운로드, 기타 인터넷 활동 및 사용 대역폭 기록.

3. 2. 하드웨어 키로거

3. 2. 1. 하드웨어 키로거의 종류

• '''펌웨어 기반:''' BIOS 수준의 펌웨어는 키보드 이벤트를 처리하도록 설계되어 있으며, 이러한 이벤트가 처리되는 동안 기록하도록 수정될 수 있다. 기기에 대한 물리적 접근 및 루트 레벨 접근이 필요하며, BIOS에 로드되는 소프트웨어는 실행될 특정 하드웨어에 맞게 제작되어야 한다.^[25]
• '''키보드 하드웨어:''' 하드웨어 키로거는 일반적으로 컴퓨터 키보드와 컴퓨터 사이의 어딘가에 부착된 하드웨어 회로를 이용하여 키 입력을 기록한다. USB 커넥터 기반 하드웨어 키로거와 랩탑 컴퓨터용(미니 PCI 카드가 랩탑의 확장 슬롯에 꽂힘) 키로거도 있다. 보다 은밀한 구현은 표준 키보드에 설치되거나 내장될 수 있으므로 외부 케이블에서 장치가 보이지 않게 된다. 두 가지 유형 모두 모든 키보드 활동을 내부 메모리에 기록하며, 예를 들어 비밀 키 시퀀스를 입력하여 나중에 액세스할 수 있다. 하드웨어 키로거는 대상 사용자의 컴퓨터에 소프트웨어를 설치할 필요가 없으므로 컴퓨터 작동에 방해가 되지 않으며, 컴퓨터에서 실행되는 소프트웨어에 의해 감지될 가능성이 적다. 그러나 외부 케이스에 컴퓨터와 키보드 사이의 인라인 장치로 설치된 경우와 같이 물리적 존재가 감지될 수 있다. 이러한 구현 중 일부는 무선 통신 표준을 사용하여 원격으로 제어하고 모니터링할 수 있다.^[26]

• '''무선 키보드 및 마우스 스니퍼:''' 이러한 수동 스니퍼는 무선 키보드와 수신기에서 전송되는 데이터 패킷을 수집한다. 두 장치 간의 무선 통신을 보호하기 위해 암호화가 사용될 수 있으므로 전송 내용을 읽으려면 미리 해독해야 할 수 있다. 어떤 경우에는 공격자가 피해자의 컴퓨터에 임의의 명령을 입력할 수 있다.^[27]
• '''키보드 오버레이:''' 범죄자들이 사람들의 PIN을 캡처하기 위해 ATM에 키보드 오버레이를 사용하는 것으로 알려져 있다. 각 키 입력은 ATM의 키보드와 그 위에 놓인 범죄자의 키패드에 의해 등록된다. 이 장치는 은행 고객이 그 존재를 알지 못하도록 기기의 통합된 부분처럼 보이도록 설계되었다.^[28]
• '''음향 키로거:''' 음향 암호 분석을 사용하여 누군가가 컴퓨터에서 타이핑하는 소리를 모니터링할 수 있다. 키보드의 각 키를 누르면 미묘하게 다른 음향 시그니처가 생성된다. 그러면 통계적 방법(예: 주파수 분석)을 통해 어떤 키 입력 시그니처가 어떤 키보드 문자와 관련이 있는지 식별할 수 있다. 유사한 음향 키 입력 시그니처의 반복 주파수, 다른 키보드 스트로크 사이의 타이밍 및 사용자가 작성하는 언어와 같은 다른 컨텍스트 정보가 이 분석에서 소리를 문자에 매핑하는 데 사용된다.^[29] 상당히 긴 기록(1000개 이상의 키 입력)이 필요하므로 충분히 큰 표본이 수집된다.^[30]
• '''전자기 방출:''' 물리적으로 연결되지 않고도 최대 20m 거리에서 유선 키보드의 전자기 방사선을 캡처할 수 있다.^[31] 2009년 스위스 연구원들은 반무반향실에서 11개의 서로 다른 USB, PS/2 및 랩탑 키보드를 테스트했으며, 주로 제조 과정에서 전자기 차폐를 추가하는 데 드는 비용이 많이 들어 모든 키보드가 취약하다는 것을 발견했다.^[32] 연구원들은 키보드에서 방출되는 특정 주파수를 감지하기 위해 광대역 수신기를 사용했다.
• '''광학 감시:''' 광학 감시는 고전적인 의미의 키로거는 아니지만, 비밀번호나 PIN을 캡처하는 데 사용할 수 있는 접근 방식이다. ATM에 숨겨진 감시 카메라와 같이 전략적으로 배치된 카메라는 범죄자가 PIN이나 비밀번호가 입력되는 것을 볼 수 있게 해준다.^[33][34]
• '''물리적 증거:''' 보안 코드를 입력하는 데만 사용되는 키패드의 경우 실제로 사용되는 키에는 많은 지문에서 사용된 증거가 있다. 네 자리의 암호는 해당 네 자리 숫자를 알고 있는 경우 10,000가지 가능성에서 단 24가지 가능성(10⁴ 대 4! [계승 4])으로 줄어든다. 그런 다음 이러한 암호는 별도의 경우에 수동 "무차별 대입 공격"에 사용될 수 있다.
• '''스마트폰 센서:''' 연구원들은 스마트폰에 있는 일반적인 가속도계만 사용하여 근처 컴퓨터 키보드의 키 입력을 캡처할 수 있다는 것을 시연했다.^[35] 이 공격은 동일한 책상 위에 있는 키보드 근처에 스마트폰을 배치함으로써 가능하다. 그러면 스마트폰의 가속도계는 키보드에서 타이핑할 때 생성되는 진동을 감지한 다음 이 원시 가속도계 신호를 최대 80%의 정확도로 읽을 수 있는 문장으로 변환할 수 있다. 이 기술은 개별 키가 아닌 키 입력 쌍을 감지하여 확률을 통해 작동한다. 키보드 "이벤트"를 쌍으로 모델링한 다음 눌린 키 쌍이 키보드의 왼쪽 또는 오른쪽에 있는지, 그리고 QWERTY 키보드에서 서로 가까이 있는지 멀리 떨어져 있는지 확인한다. 이를 확인한 후, 각 단어가 동일한 방식으로 세분화된 사전과 결과를 비교한다.^[36] 유사한 기술은 터치 스크린 키보드에서 키 입력을 캡처하는 데에도 효과적인 것으로 나타났으며,^[37][38][39] 어떤 경우에는 자이로스코프와 결합하거나^[40][41] 주변광 센서와 결합하여 효과적이다.^[42]
• '''신체 키로거:''' 신체 키로거는 신체 움직임을 추적하고 분석하여 어떤 키가 눌렸는지 결정한다. 공격자는 신체 움직임과 키 위치를 연관시키기 위해 추적된 키보드의 키 배열에 익숙해야 하지만, 적절히 큰 표본을 사용하면 추론할 수 있다. 사용자의 인터페이스에 대한 가청 신호(예: 키 입력이 기록되었음을 사용자에게 알리는 장치에서 발생하는 소리)를 추적하면 신체 키로깅 알고리즘의 복잡성이 줄어들 수 있으며, 이는 키가 눌린 순간을 표시하기 때문이다.^[43]

4. 키로거의 악용 사례

키로거는 범죄자들이 개인 정보를 탈취하는 데 악용될 수 있다. 일례로, 2000년 연방 수사국(FBI)은 갱 두목 니코데모 스카포 주니어의 암호를 획득하기 위해 키로거를 사용했다.^[46]

키로거는 키보드 입력 신호를 기록하는 프로그램으로, 사용 방법에 따라 사용자가 입력한 ID, 비밀번호, 주소, 성명 등 중요한 개인 정보까지 훔칠 수 있어 컴퓨터 보안과 관련하여 사회 문제로 제기되고 있다.

키로거는 다른 사람의 컴퓨터에 설치되어 그 컴퓨터에서 무엇을 입력했는지 훔쳐보는 수단으로 사용될 수 있으며, 통신 기능을 가지고 자동으로 로그를 특정 장소로 전송하는 루트킷 소프트웨어까지 등장했다. 또한 컴퓨터 바이러스의 기능 중 하나로 구현되기도 한다.

PC방 등의 공공 시설 컴퓨터에 키로거가 설치된 사례가^[56] 과거 여러 차례 보도되었다. 불특정 다수의 사람들이 이용하는 환경이기에 수집 효율이 매우 좋기 때문이다.

연방 수사국(FBI)은 컴퓨터에 설치하여 로그를 자동으로 확인하는 '매직 랜턴'(Magic Lantern)을 개발했다. 매직 랜턴의 존재는 마피아 간부 니코데모 스칼포 주니어(Nicodemo Scarfo Jr.)의 이메일 해독에 사용된 것으로부터 2001년에 밝혀졌다.

5. 키로거 대응책

키로거에 대한 대응책은 키로거가 데이터를 캡처하는 다양한 기술에 따라 효과가 달라진다. 마이크로소프트 윈도우 10의 경우, 특정 개인 정보 보호 설정을 변경하면 키로깅을 비활성화할 수 있다.^[48]

키로거 대응책은 크게 소프트웨어적 대응과 비 소프트웨어적 대응으로 나눌 수 있으며, 추가적으로 비밀번호 관리자와 생체 인증을 활용할 수 있다.

키로거 프로그램 작성자는 효과가 입증된 대응책에 적응하기 위해 프로그램 코드를 업데이트할 수 있다는 점을 유의해야 한다.

5. 1. 소프트웨어적 대응

5. 2. 비 소프트웨어적 대응

5. 3. 비밀번호 관리자

• ID와 비밀번호를 암호화하여 저장
• 비밀번호 안전성 확인
• 저장된 ID와 비밀번호를 사용한 로그인 지원
• 저장된 모든 정보는 마스터 키(하나의 비밀번호 또는 생체 인증)로 관리
• 안전한 비밀번호 자동 생성
• 클라우드를 통한 동기화로 PC나 스마트폰에서 동일한 기능 사용 가능

참조

_[1] 논문 Keylogging-Resistant Visual Authentication Protocols https://ieeexplore.i[...] 2014-11-01
_[2] 논문 Early prediction of writing quality using keystroke logging 2021-08-24
_[3] 웹사이트 Use of legal software products for computer monitoring https://www.keylogge[...]
_[4] 웹사이트 Keylogger http://oxforddiction[...] Oxford dictionaries 2013-08-03
_[5] 웹사이트 Keyloggers: How they work and how to detect them (Part 1) https://securelist.c[...]
_[6] 서적 2022 Fifth International Conference on Computational Intelligence and Communication Technologies (CCICT) IEEE 2022-07-08
_[7] 논문 Robustness of keystroke-dynamics based biometrics against synthetic forgeries http://cseweb.ucsd.e[...] 2012
_[8] 웹사이트 Selectric bug http://www.cryptomus[...]
_[9] 웹사이트 The Security Digest Archives http://securitydiges[...] 2009-11-22
_[10] 웹사이트 Soviet Spies Bugged World's First Electronic Typewriters http://www.qccglobal[...] 2013-12-20
_[11] 뉴스 Russia Turns To Typewriters To Protect Against Cyber Espionage http://www.businessi[...] 2013
_[12] 간행물 Learning from the Enemy: The GUNMAN Project https://web.archive.[...] 2017-12-03
_[13] 뉴스 Wanted: 20 electric typewriters for Russia to avoid leaks http://technology.in[...] 2013-07-13
_[14] 뉴스 Russian security agency to buy typewriters to avoid surveillance https://web.archive.[...] 2013-12-21
_[15] 웹사이트 What is a Keylogger? http://www.pctools.c[...] PC Tools
_[16] 웹사이트 Microsoft Windows 10 has a keylogger enabled by default – here's how to disable it https://www.privatei[...] 2017-03-20
_[17] 웹사이트 The Evolution of Malicious IRC Bots http://www.symantec.[...] NortonLifeLock 2011-03-25
_[18] 웹사이트 Bypassing pre-boot authentication passwords by instrumenting the BIOS keyboard buffer (practical low level attacks against x86 pre-boot authentication software) http://www.ivizsecur[...] 2008-09-23
_[19] 뉴스 Web-Based Keylogger Used to Steal Credit Card Data from Popular Sites https://threatpost.c[...] 2017-01-24
_[20] 뉴스 SpyEye Targets Opera, Google Chrome Users https://krebsonsecur[...] 2011-04-26
_[21] 서적 Computer Key-Stroke Logging and Writing: Methods and Applications Elsevier 2006
_[22] 서적 Past, present, and future contributions of cognitive writing research to cognitive psychology Taylor & Francis 2012
_[23] 뉴스 Keystroke Logging in SpyWareLoop.com http://www.spywarelo[...] 2013-07-27
_[24] 웹사이트 EM_GETLINE Message() http://msdn.microsof[...] Microsoft 2009-07-15
_[25] 웹사이트 Apple keyboard hack http://www.digitalso[...] Digital Society 2011-06-09
_[26] 웹사이트 Keylogger Removal http://spyreveal.com[...] SpyReveal Anti Keylogger 2011-04-25
_[27] 웹사이트 Keylogger Removal https://www.bastille[...] SpyReveal Anti Keylogger 2016-02-26
_[28] 뉴스 Tampered Credit Card Terminals http://www.pcworld.c[...] International Data Group 2009-04-19
_[29] 웹사이트 Cracking Passwords using Keyboard Acoustics and Language Modeling http://www.inf.ed.ac[...] 2010-09-10
_[30] 웹사이트 Researchers recover typed text using audio recording of keystrokes http://www.berkeley.[...] UC Berkeley NewsCenter 2005-09-14
_[31] 웹사이트 A Year Ago: Cypherpunks publish proof of Tempest https://www.zdnet.co[...]
_[32] 논문 Compromising Electromagnetic Emanations of Wired and Wireless Keyboards http://infoscience.e[...] 2009-06-01
_[33] 웹사이트 ATM camera http://www.snopes.co[...] 2009-04-19
_[34] 간행물 A fast eavesdropping attack against touchscreens http://www.syssec-pr[...] IEEE
_[35] 간행물 (sp)iPhone: decoding vibrations from nearby keyboards using mobile phone accelerometers ACM
_[36] 간행물 iPhone Accelerometer Could Spy on Computer Keystrokes https://www.wired.co[...] 2014-08-25
_[37] 컨퍼런스 ACCessory: password inference using accelerometers on smartphones ACM
_[38] 컨퍼런스 Proceedings of the 28th Annual Computer Security Applications Conference on - ACSAC '12 ACM
_[39] 컨퍼런스 TouchLogger: inferring keystrokes on touch screen from smartphone motion https://www.usenix.o[...] USENIX 2014-08-25
_[40] 컨퍼런스 TapLogger: inferring user inputs on smartphone touchscreens using on-board motion sensors ACM
_[41] 컨퍼런스 Tapprints: your finger taps have fingerprints ACM
_[42] 컨퍼런스 PIN Skimming: Exploiting the Ambient-Light Sensor in Mobile Devices ACM
_[43] 간행물 Body Keylogging https://hakin9.org/p[...] 2019
_[44] 서적 Proceedings. 1997 IEEE Symposium on Security and Privacy (Cat. No.97CB36097)
_[45] 서적 Proceedings 1996 IEEE Symposium on Security and Privacy
_[46] 웹사이트 Mafia trial to test FBI spying tactics: Keystroke logging used to spy on mob suspect using PGP https://www.theregis[...] 2009-04-19
_[47] 웹사이트 Russians accuse FBI Agent of Hacking https://www.theregis[...] 2002-08-16
_[48] 웹사이트 3 methods to disable Windows 10 built-in Spy Keylogger http://www.spyrix.co[...] 2015-10-28
_[49] 웹사이트 What is Anti Keylogger? http://www.securitys[...] 2018-08-23
_[50] 간행물 The strange world of keyloggers - an overview, Part I https://www.ingentac[...] 2017-01-29
_[51] 간행물 Anti-keylogging measures for secure Internet login: An example of the law of unintended consequences https://www.scienced[...] 2007-09-01
_[52] 웹사이트 Organized crime tampers with European card swipe devices https://www.theregis[...] 2009-04-18
_[53] 웹사이트 Prevent keyloggers from grabbing your passwords http://windowssecret[...] Windows Secrets 2014-05-10
_[54] 웹사이트 Anti Keylogger http://networkinterc[...] Networkintercept.com 2009-06-10
_[55] 웹사이트 How To Login From an Internet Cafe Without Worrying About Keyloggers http://cups.cs.cmu.e[...] Microsoft Research 2008-09-23
_[56] 웹사이트 ネットカフェでＩＤ、パスワードを盗まれないための防衛手段 https://diamond.jp/a[...] 2008-03-04
_[57] 문서 Windows のキーロガーを削除する(JM1XTK, 更新2023年5月25日） https://jm1xtk.com/c[...]
_[58] 웹사이트 家族が仕掛けたキーロガーが奏功！？ http://securityblog.[...] 2007-06-08
_[59] 웹인용 The Security Digest Archives http://securitydiges[...] 2009-11-22