키로깅(키로거)
포스팅 뷰30
키로깅(키로거)이란 무엇인가
키로깅(키로거)은 사용자가 키보드를 입력하는 내용을 몰래 기록(Logging)해 공격자에게 전달하는 공격 방식이다.
아이디와 비밀번호는 물론, 카드번호, 업무 시스템 접근 정보, 메신저 대화 내용까지 광범위한 정보가 탈취될 수 있다.
특히 키로거는 사용자가 입력하는 '순간'의 데이터를 가로채기 때문에, 웹사이트가 HTTPS로 암호화되어 있더라도 안전하다고 보장할 수 없다.
입력값이 서버로 전송되기 전에 이미 공격자에게 넘어갈 수 있기 때문이다.
키로거는 어떻게 동작하는가
키로거는 동작 방식에 따라 크게 소프트웨어형과 하드웨어형으로 나뉜다.
1. 소프트웨어형 키로거
소프트웨어형 키로거는 악성코드 형태로 PC나 노트북에 설치된다.
운영체제의 키 입력 이벤트를 가로채거나, 브라우저・메일・원격접속 프로그램 등을 후킹해 입력값을 수집한다.
최근에는 단순한 키 입력 기록을 넘어,
- 화면 캡처
- 클랩보드 내용 수집
- 브라우저 저장 비밀번호 탈취
등을 함께 수행하는 스파이웨어 형태로 동작하는 경우가 많다.
2. 하드웨어형 키로거
하드웨어형 키로거는 키보드와 PC 사이에 장치를 연결해 입력 신호를 가로채는 방식이다.
외형이 매우 작아 육안으로 식별하기 어려운 경우도 있으며, 공용 PC나 외부 반출이 잦은 환경에서는 물리적 보안이 특히 중요하다.
키로깅 감염 경로 : 현실에서 가장 흔한 사례
키로거는 고도의 해킹 기술보다 일상적인 사용자 행동을 통해 유입되는 경우가 많다.
대표적인 감염 경로는 다음과 같다.
- 피싱 이메일・문자・메신저 링크 클릭
- 불법 소프트웨어, 클랙, 키젠 다운로드
- Word・Excel 문서의 악성 매크로 실행
- 브라우저 확장 프로그램 위장 설치
- 취약한 원격접속(RDP) 계정 탈취 후 악성코드 추가 설치
- USB 등 이동식 저장매체를 통한 전파
특히 "급합", "결제", "배송", "인사팀" 등의 키워드를 이용한 사회공학 기법이 자주 사용된다.
키로깅 감염을 의심해야 하는 신호 7가지
키로거는 은밀하게 동작하도록 설계되어 눈에 띄는 증상이 없는 경우도 많다.
그럼에도 아래와 같은 신호가 반복된다면 주의가 필요하다.
- 브라우저가 갑자기 느려지거나 잦은 멈춤 현상 발생
- 알 수 없는 브라우저 확장 프로그램이 추가됨
- 백신이나 보안 프로그램이 비활성화됨
- 로그인 실패・보안 알림이 평소보다 증가
- 작업 관리자에 정체불명의 프로세스 상주
- 시작 프로그램이나 작업 스케줄러에 모르는 항목 존재
- 키 입력 지연 또는 클립보드 동작 이상
키로깅(키로거) 점검 및 탐지 방법
1. 개인 사용자를 위한 점검 방법
개인 사용자는 다음 항목을 정기적으로 점검하는 것이 좋다.
- 운영체제, 브라우저, 백신 최신 업데이트 유지
- 백신 전체 검사 및 부팅(오프라인) 검사 실행
- 불필요하거나 출처 분명의 브라우저 확장 프로그램 제거
- 시작 프로그램, 작업 스케줄러, 서비스 목록 점검
- 비밀번호 변경은 반드시 다른 안전한 기기에서 진행
2. 기업・조직 환경에서의 대응
기업 환경에서는 단순 백신만으로는 한계가 있다.
- EDR 등 행위 기반 탐지 솔루션 도입
- 권리자 권한 최소화 및 계정 분리
- 중요 시스템 접근 시 다중인증(2FA) 의무화
- 설치 프로그램 화이트리스트 정책 적용
- 이상 행위 발생 시 즉각적인 네트워크 격리 절차 마련
키로깅(키로거)은 가장 오래된 공격 방식 중 하나지만, 여전히 계정 탈취에 매우 효과적인 위협이다.
중요한 것은 "완벽한 차단"이 아니라,
- 예방으로 유입 가능성을 낮추고
- 탐지로 빠르게 발견하며
- 계정 보안으로 피해를 최소화하고
- 백업으로 복구 가능성을 확보하는 구조다.
이 네가지가 갖춰질 때, 키로거 공격에도 흔들리지 않는 보안 환경을 만들 수 있다.