키로거(키스트로크 로거의 약자)는 컴퓨터 또는 모바일 장치에서 이루어진 각 키스트로크를 추적하고 기록하는 감시 기술의 일종입니다.
목차
키로거는 로그인 자격 증명 또는 민감한 데이터를 훔치는 것과 같은 악성 사이버 활동과 종종 연관되지만 직원 감독 또는 부모 제어 소프트웨어와 같은 합법적인 시나리오에서도 사용될 수 있습니다.
키로거 유형
키로거는 작동 방법과 시스템 액세스 수준에 따라 다릅니다. 다음은 가장 일반적인 유형으로, 각 유형은 탐지에 대한 고유한 행동과 의미를 가지고 있습니다.
API 기반 키로거
이러한 로거는 표준 시스템 API를 사용하여 키 입력을 기록합니다. 하드웨어와 소프트웨어 간의 정상적인 상호 작용을 모방하여 합법적인 프로세스와 구별하기가 특히 어렵습니다. 키를 누르거나 해제할 때마다 로거는 사용자에게 경고하지 않고 실시간으로 이벤트를 캡처합니다.
폼그래빙 키로거
개별 키 입력을 모니터링하는 대신, 양식 그래프는 사용자가 제출할 때 웹 양식의 전체 내용을 캡처합니다. 즉, 사용자 이름, 암호, 신용카드 세부 정보 및 기타 민감한 데이터를 암호화하고 전송하기 전에 가로챌 수 있습니다.
커널 레벨 키로거
이러한 키로거는 운영 체제의 가장 깊은 계층인 커널에서 작동하여 관리 수준의 액세스 권한을 얻습니다. 표준 안티바이러스 도구로 탐지하지 않고도 모든 활동을 기록할 수 있으므로 가장 위험한 유형 중 하나입니다.
JavaScript 기반 키로거
종종 침해된 웹 사이트 또는 브라우저 기반 공격을 통해 삽입되는 이러한 키로거는 악성 스크립트를 사용하여 웹 페이지 내의 키보드 입력을 모니터링합니다. XSS(교차 사이트 스크립팅), 중간 공격 또는 손상된 타사 콘텐츠와 같은 방법을 통해 배포됩니다.
하드웨어 기반 키로거
하드웨어 기반 키로거는 키보드와 컴퓨터 사이에 삽입되거나 키보드 자체에 내장된 물리적 장치입니다. 설치하려면 대상 장치에 대한 물리적 액세스가 필요하지만 기존 안티바이러스 또는 소프트웨어 스캔을 통해 사실상 감지할 수 없습니다. 설치되면 내부 메모리에 키 입력을 기록하거나 외부 수신기에 무선으로 전송합니다.
키로거 작동 방식
키로거는 사용자 입력을 가로채고 기록하여 작동하며 종종 스텔스 전술을 활용하여 사용자와 보안 소프트웨어에서 숨겨집니다. 다음은 작동 방식에 대한 자세한 내용입니다.
키로거 캡처 키보드 입력
키로거가 사용하는 기본 방법은 입력되는 키 입력을 가로채는 것입니다. 일반적으로 다음을 통해 이를 달성합니다.
API 후크: 많은 소프트웨어 키로거는 Windows의 SetWindowsHookEx API와 같은 시스템 수준 후크를 사용하여 키보드 이벤트를 애플리케이션에 도달하기 전에 차단합니다.
커널 레벨 인터셉션: 고급 키로거는 커널 계층에서 작동하여 하드웨어에서 직접 원시 입력 데이터를 캡처하고 종종 사용자 모드 보안 방어를 우회합니다.
이를 통해 키로거는 사용자 인식 없이 입력한 문서에서 로그인 자격 증명까지 모든 것을 기록할 수 있습니다.
키로거 데이터 취급 및 스텔스 기술
키스트로크를 로깅하는 것 외에도 많은 키로거는 더 광범위한 사용자 활동을 수집하고 도난당한 정보를 은밀하게 전송하도록 설계되었습니다.
확장된 데이터 캡처: 일부 변형은 또한 클립보드 콘텐츠를 기록하거나, 정기적인 스크린샷을 찍거나, 방문한 웹사이트 및 애플리케이션 사용을 기록합니다.
보관 및 전송: 캡처된 데이터는 로컬로 숨겨진 파일에 저장되거나 이메일, FTP 또는 암호화된 통신 채널을 통해 원격 서버로 전송됩니다.
스텔스 운영: 탐지를 피하기 위해 키로거는 종종 합법적인 프로세스로 위장하거나 루트킷 기술을 사용하여 존재를 숨기거나 시스템 메모리에서만 작동하여 파일 기반 안티바이러스 스캔을 회피합니다.
키로거의 실제 사용
Keylogger - 악성 사용 사례
신원 도용: 사이버 범죄자는 키로거를 사용하여 사용자 이름, 암호, 은행 자격 증명 및 개인 식별 번호(PIN)를 캡처할 수 있습니다.
감시: 해커는 피해자의 온라인 활동을 모니터링하거나 이메일을 읽거나 대화를 추적할 수 있습니다.
기업 스파이 활동: 비즈니스 환경에서는 키로거를 배포하여 영업 비밀을 훔치거나 기밀 정보에 무단 액세스할 수 있습니다.
Keylogger - 합법적인 사용 사례
부모 통제: 일부 부모는 키로거를 설치하여 자녀의 온라인 행동을 모니터링하여 안전한지 확인하고 유해한 콘텐츠에 관여하지 않도록 합니다.
작업장 모니터링: 고용주는 생산성을 추적하고 회사 정책을 준수하기 위해 엔드포인트 모니터링 도구의 일부로 키로거를 사용할 수 있습니다. 그러나 이는 직원의 개인정보 보호 권리를 존중하며 투명하고 윤리적으로 수행되어야 합니다.
키로거 작동 방식
키로거는 사용자 입력을 가로채고 기록하여 작동하며 종종 스텔스 전술을 활용하여 사용자와 보안 소프트웨어에서 숨겨집니다. 다음은 작동 방식에 대한 자세한 내용입니다.
키로거 캡처 키보드 입력
키로거가 사용하는 기본 방법은 입력되는 키 입력을 가로채는 것입니다. 일반적으로 다음을 통해 이를 달성합니다.
API 후크: 많은 소프트웨어 키로거는 Windows의 SetWindowsHookEx API와 같은 시스템 수준 후크를 사용하여 키보드 이벤트를 애플리케이션에 도달하기 전에 차단합니다.
커널 레벨 인터셉션: 고급 키로거는 커널 계층에서 작동하여 하드웨어에서 직접 원시 입력 데이터를 캡처하고 종종 사용자 모드 보안 방어를 우회합니다.
이를 통해 키로거는 사용자 인식 없이 입력한 문서에서 로그인 자격 증명까지 모든 것을 기록할 수 있습니다.
키로거 데이터 취급 및 스텔스 기술
키스트로크를 로깅하는 것 외에도 많은 키로거는 더 광범위한 사용자 활동을 수집하고 도난당한 정보를 은밀하게 전송하도록 설계되었습니다.
확장된 데이터 캡처: 일부 변형은 또한 클립보드 콘텐츠를 기록하거나, 정기적인 스크린샷을 찍거나, 방문한 웹사이트 및 애플리케이션 사용을 기록합니다.
보관 및 전송: 캡처된 데이터는 로컬로 숨겨진 파일에 저장되거나 이메일, FTP 또는 암호화된 통신 채널을 통해 원격 서버로 전송됩니다.
스텔스 운영: 탐지를 피하기 위해 키로거는 종종 합법적인 프로세스로 위장하거나 루트킷 기술을 사용하여 존재를 숨기거나 시스템 메모리에서만 작동하여 파일 기반 안티바이러스 스캔을 회피합니다.
키로거가 장치를 감염시키는 방법
키로거는 일반적으로 다음과 같은 다른 멀웨어 유형과 유사한 방법을 통해 제공됩니다.
피싱 이메일 및 악성 첨부 파일: 공격자는 감염된 문서 또는 링크가 포함된 설득력 있는 이메일을 보냅니다. 매크로 지원 Word 문서와 같이 부비 트랩 파일을 열면 키로거를 자동으로 설치할 수 있습니다.
파일리스 멀웨어 기술: 파일리스 키로거는 명확한 추적을 남기는 대신 PowerShell 또는 DLL 주입과 같은 도구를 사용하여 메모리에 직접 코드를 주입합니다.
Trojanized Software 및 Software Bundling: 키로거는 합법적인 애플리케이션이나 불법 복제 소프트웨어 다운로드 안에 숨겨져 있는 경우가 있습니다. 이러한 변조된 프로그램을 설치하면 백그라운드에 로거가 실수로 설치됩니다.
악성 브라우저 확장(브라우저 사용자 공격): 가짜 또는 손상된 브라우저 애드온은 웹 양식에 입력된 모든 것을 캡처하여 암호 관리자 또는 가상 키보드와 같은 보호를 우회할 수 있습니다.
드라이브바이 다운로드 및 익스플로잇 키트: 오래된 브라우저나 플러그인으로 침해된 웹사이트를 방문하는 경우에도 자동 다운로드가 트리거될 수 있으며, 이는 기기에 키로거를 자동으로 설치합니다.
USB 드롭 및 물리적 액세스: 공격자는 감염된 USB 장치를 설치하거나 키보드와 컴퓨터 사이에 하드웨어 키로거를 물리적으로 설치하여 사용자 상호 작용 없이 데이터를 자동으로 캡처할 수 있습니다.
키로거 지속성 기술
키로거는 설치 후 재부팅 후에도 생존하고 다음과 같은 방법을 사용하여 숨김 상태를 유지하는 것을 목표로 합니다.
항목 및 예약된 작업 자동 시작: 키로거는 시작 폴더, 레지스트리 키 또는 예약된 작업에 추가되어 부팅 시 자동으로 다시 시작됩니다.
서비스 설치 및 프로세스 주입: 일부 로거는 시스템 서비스로 설치하거나 합법적인 프로세스(예: explorer.exe)에 주입하여 정기적인 시스템 운영과 혼합합니다.
합법적인 도구 남용: 키로거는 명백한 멀웨어 아티팩트 없이도 '랜드 바이너리(예: wscript.exe 또는 powershell.exe)를 사용하지 않고 자동으로 실행할 수 있습니다.
펌웨어 또는 부트킷: 고도로 정교한 키로거는 시스템 BIOS 또는 장치 펌웨어를 감염시켜 운영 체제가 로드되기 전에도 활성화할 수 있습니다. 이는 일반적으로 표적 고가치 공격에서 볼 수 있는 전술입니다.
키로거를 감지하고 제거하는 방법
키로거의 존재를 인식하는 것은 어려울 수 있지만, 다음과 같은 이야기 신호가 있습니다.
키보드 응답의 예기치 않은 지연 또는 속도
작업 관리자 또는 활동 모니터에서 실행 중인 알 수 없거나 의심스러운 프로세스
빈번한 애플리케이션 충돌 또는 비정상적인 시스템 동작
웹 브라우징 성능이 현저히 느림
키로거를 제거하려면:
멀웨어 방지 또는 전용 안티키로거 도구를 사용하여 장치를 스캔하십시오.
안티바이러스 소프트웨어를 업데이트하고 정기적인 스캔을 수행하여 새로운 위협을 포착하십시오.
안전 모드로 부팅하여 더 심층적인 시스템 점검을 수행합니다.
브라우저 및 앱 설정을 재설정하여 악성 확장을 배제합니다.
키로거로부터 보호하는 방법
다음은 키로거 감염을 예방하기 위한 몇 가지 선제적 단계입니다.
소프트웨어 업데이트 유지 - 키로거와 멀웨어가 자주 악용하는 알려진 취약점을 패치하기 위해 운영 체제, 브라우저 및 애플리케이션을 정기적으로 업데이트합니다.
안티바이러스 및 엔드포인트 보안 사용 - 알려진 위협과 새로운 위협을 모두 포착하기 위해 실시간 보호 및 행동 탐지 기능을 갖춘 평판이 좋은 안티바이러스 또는 엔드포인트 보안 솔루션을 설치하십시오.
다중 요소 인증(MFA) 사용- 암호가 캡처되더라도 MFA는 무단 액세스를 차단할 수 있는 중요한 추가 보안 계층을 추가합니다.
가상 키보드- 가상 키보드를 사용하면 입력하는 대신 화면 키를 클릭할 수 있으므로 기본 키로거가 입력을 캡처하는 것이 더 어려워집니다.
사용자 교육 및 보안 인식 - 피싱 위험, 의심스러운 다운로드 및 키로거 경고 신호에 대해 정기적으로 사용자를 교육합니다.
Trend Vision One™ 플랫폼
공격을 더 빠르게 차단하고 사이버 위험을 통제하는 것은 단일 플랫폼에서 시작됩니다. 위협 연구 및 인텔리전스를 선도하는 AI로 구동되는 포괄적인 예방, 탐지 및 대응 기능을 사용하여 보안을 전체적으로 관리합니다.
Trend Vision One은 다양한 하이브리드 IT 환경을 지원하고 워크플로우를 자동화 및 조율하며 전문적인 사이버 보안 서비스를 제공하므로 보안 운영을 단순화하고 통합할 수 있습니다.
Jon Clay는 29년 이상 사이버 보안 분야에서 일해 왔습니다. Jon은 업계 경험을 활용하여 트렌드마이크로가 외부에서 발표한 모든 위협 연구 및 인텔리전스에 대한 인사이트를 교육하고 공유합니다.