키보드가 당신을 배신하고 있습니까? 키로거에 대해 알아야 할 모든 것
악성코드나 바이러스를 생각할 때, 보통 장치 운영체제를 손상시키거나 저장된 정보를 훔치거나 데이터 접근을 막는 악성 소프트웨어를 떠올립니다. 이러한 생각은 종종 눈에 띄는 위협인 키로거를 간과하게 만듭니다.
키로거는 가장 위험한 악성코드 중 하나입니다. 그 목적은 계정 비밀번호나 금융 정보를 빼내어 재정적 손실이나 신원 도용으로 이어지게 하는 데 있습니다.
위험할 뿐만 아니라, 일반적인 백신 소프트웨어로는 키로거로부터 충분한 보호를 받기 어렵습니다.
이 글에서는 키로거에 대해 자세히 알아보고, 그것이 무엇인지, 그리고 가장 중요하게는 이 교묘하고 위험한 악성코드로부터 어떻게 자신을 보호할 수 있는지에 대해 이야기할 것입니다.
키로거란 무엇인가?
키로거의 주된 기능은 키보드 입력을 추적하고 기록하는 것입니다. 일반적으로 키보드를 통해 입력하는 모든 내용을 숨겨진 파일에 저장한 다음, 이 파일을 이메일로 해커에게 보내거나 서버/웹사이트에 업로드합니다.
해커는 이 데이터를 사용하여 로그인 시 입력한 비밀번호나 신용카드 정보를 훔칠 수 있습니다. 표적 공격의 경우, 민감한 정보나 회사 계획을 빼내기도 합니다.
키로거에는 소프트웨어 키로거와 하드웨어 키로거 두 가지 유형이 있습니다. 둘 다 정보를 훔치지만 작동 방식이 다르고, 보호를 위한 해결책도 다릅니다.
#1. 소프트웨어 키로거
이것은 가장 흔한 유형의 키로거이며, 주로 무차별적인 대규모 공격에 사용됩니다. PC에 설치되면 백그라운드에서 작동하며 자신을 숨긴 채 데이터를 기록하고 전송합니다.
이러한 키로거는 Windows API나 Windows 커널을 이용하여 작동하도록 만들어집니다. Windows API 기반 키로거는 일반 프로그램처럼 작동하며, 합법적인 프로그램인 척 위장합니다. 작업 관리자나 설치된 프로그램 목록에서 실행 중인 것을 확인할 수 있습니다.
Windows 커널 기반 키로거는 더 높은 권한을 가지며 다른 Windows 프로세스에 숨을 수 있습니다. 루트킷과 유사한 동작을 하므로, 바이러스 백신 프로그램의 특별한 탐지 기능 없이는 사용자가 발견하기 어렵습니다. 또한, 시스템 수준의 권한을 가지기 때문에 사용자 권한 수준으로 제한되는 Windows API 기반 키로거보다 정보에 더 쉽게 접근할 수 있습니다.
#2. 하드웨어 키로거
하드웨어 키로거는 데이터를 훔치기 위해 키보드 선이나 USB 포트에 연결하는 물리적인 장치입니다. 일반적으로 소프트웨어가 연결되어 있지 않으므로 사용자나 백신 소프트웨어가 운영체제에서 탐지할 수 없습니다. 하지만, 키 입력을 기록하는 데만 한정된다는 의미이기도 합니다.
일부 고급 키로거는 소프트웨어나 펌웨어를 설치하여 더 많은 데이터를 기록하고 작업을 수행할 수도 있습니다. 하지만 이러한 경우 바이러스 백신으로 탐지될 수 있습니다. 기록된 데이터는 내장된 무선 장치나 데이터 공유 소프트웨어를 통해 해커에게 다시 전송될 수 있습니다. 또는 해커가 데이터를 얻기 위해 직접 장치를 회수하기도 합니다.
물리적인 장치이기 때문에 하드웨어 키로거는 주로 기업을 대상으로 민감한 정보를 빼내는 표적 공격에 사용됩니다.
키로거의 합법적 또는 불법적 사용
일반적으로 키로거는 불법이거나 적어도 비윤리적인 것으로 간주됩니다. 그러나 사용 목적과 해당 국가의 법률에 따라 합법적인 사용 사례도 있습니다.
대부분의 경우, 본인 소유의 장치에 키로거를 설치하는 것은 불법으로 간주되지 않습니다. 자녀나 직원을 모니터링하기 위해 부모나 고용주에게 판매되는 대부분의 장치 모니터링 앱에는 키로거 기능이 내장되어 있습니다.
그러나 일부 국가에서는 개인의 동의를 먼저 얻도록 요구하는 법률이 있을 수 있습니다. 미국의 ECPA나 캐나다의 PIPEDA는 고용주가 직원의 동의를 얻도록 강제하고 있습니다. 하지만 많은 국가와 주에서는 은밀한 모니터링을 허용하므로 스파이 앱과 스파이웨어 방지 앱이 존재합니다.
물론, 본인이 소유하지 않은 장치에 동의 없이 키로거를 설치하는 것은 불법입니다.
키로거는 얼마나 위험한가?
키로거의 유일한 목적은 민감한 정보를 훔치는 것이며, 이것은 매우 위험할 수 있습니다. 사용자가 악성 웹사이트에 실수로 정보를 입력하는 피싱 공격과는 달리, 키로거는 키보드로 입력하는 모든 것을 훔칠 수 있습니다.
해커는 또한 @ 기호나 숫자만으로 데이터를 여는 것과 같이, 훔친 대량의 데이터를 필터링하는 데 능숙합니다. 키로거가 위험한 몇 가지 이유는 다음과 같습니다.
키로거는 단독으로 작동하지 않는다
많은 최신 키로거는 키 입력 기록 이상의 기능을 제공합니다. 피해자가 되면 단순히 키보드 활동만 기록되는 것이 아닐 가능성이 큽니다. 훔칠 수 있는 정보에는 클립보드 내용, OS 내 활동, 접속한 URL, 활동 스크린샷 등이 포함됩니다.
PC와 스마트폰 모두에 영향을 미친다
키로거는 PC와 스마트폰 모두에 위협이 되며, 특히 스마트폰 키로거는 PC보다 더 정교할 수 있습니다. 스마트폰은 전화기에서 일어나는 일을 정확하게 추적할 수 있는 더 높은 권한을 가지므로, 키로거는 데이터를 더 효과적으로 훔치고 보여줄 수 있습니다.
사회 공학 공격으로 이어진다
가장 정교한 사회 공학 공격이나 웨일링 피싱 공격은 키로거를 사용하여 개인에 대한 정보를 수집합니다. 추가 보안 조치로 인해 계정 정보를 훔칠 수 없더라도, 사회 공학 공격을 위해 개인에 대해 더 많은 정보를 얻을 수 있습니다.
개인 정보 침해 및 협박
키로거는 입력하는 모든 내용을 기록할 수 있으므로 소셜 미디어나 이메일로 다른 사람에게 보낸 메시지까지 읽을 수 있습니다. 표적 공격의 경우, 해커는 숨겨져 있어야 할 불법 활동을 이용해 사용자를 협박할 수 있습니다.
키로거로부터 보호하는 방법
다른 악성코드와 마찬가지로, 적절한 보호 도구를 사용하고 악성 소프트웨어를 다운로드하지 않으면 키로거 감염으로부터 PC를 안전하게 지킬 수 있습니다. PC가 감염된 경우에도 보호할 수 있는 방법들이 있습니다. 다음은 키로거로부터 보호할 수 있는 몇 가지 방법입니다.
#1. 안티 키로거 기능이 있는 바이러스 백신 설치
일반적인 바이러스 백신은 키로거에 대해 효과적이지 않습니다. 키로거 스캐너와 루트킷 스캐너를 모두 갖춘 강력한 솔루션이 필요합니다. Avast One은 뛰어난 악성코드 방지 및 온라인 보호 기능뿐만 아니라 키로거 제거기 및 루트킷 스캐너를 제공합니다.
실시간 보호 기능은 대부분의 키로거가 Windows API와 커널을 이용하여 설치되는 것을 방지합니다.
#2. 키 입력 암호화 소프트웨어 사용
키 입력 암호화 소프트웨어는 입력하는 앱만이 데이터를 읽을 수 있도록 키 입력을 커널 수준에서 암호화합니다. 이렇게 하면 키로거가 키 입력을 볼 수 없습니다. 이러한 앱은 일반적으로 암호화할 수 있는 미리 정의된 앱 목록을 가지고 있으므로, 소프트웨어가 사용하는 앱을 지원하는지 확인해야 합니다.
KeyScrambler는 브라우저, 독립 실행형 앱, 업무용 앱 등 수백 개의 앱을 지원하므로 이 용도로 추천합니다. 특히 무료 버전에서도 적어도 브라우저에서는 키 입력을 안전하게 유지할 수 있다는 점이 좋습니다. 대부분의 다른 프로그램에는 무료 버전이 없기 때문입니다.
#3. 가상 키보드 사용
많은 키로거가 가상 키보드로 입력한 단어를 추적하지 못합니다. 로그인 자격 증명과 같은 민감한 정보를 입력할 때는 가상 키보드를 열어 마우스 클릭으로 입력하는 것이 좋습니다. Windows에서는 Ctrl + Windows + O 키를 눌러 가상 키보드를 실행할 수 있습니다.
#4. 의심스러운 링크와 다운로드 피하기
대부분의 키로거는 합법적인 소프트웨어인 척 위장하여 PC에 설치되거나 합법적인 소프트웨어와 함께 번들로 제공됩니다. 신뢰할 수 없는 소스에서 콘텐츠를 다운로드하지 말고, 설치 과정에서 실수로 추가 항목을 설치하지 않도록 주의해야 합니다.
불법적이거나 비윤리적인 콘텐츠는 키로거와 같은 악성코드를 포함할 가능성이 높습니다. 따라서 저작권이 있는 콘텐츠, 해킹/치트, 자동 수정 도구, 토렌트 관련 항목은 다운로드하지 않도록 주의해야 합니다.
이메일로 받은 의심스러운 링크 또한 키로거를 자동으로 다운로드하는 웹페이지로 연결될 수 있으므로 절대 클릭해서는 안 됩니다.
#5. 비밀번호 관리자 사용
비밀번호 관리자는 암호화된 저장소에 모든 비밀번호를 안전하게 보관하고, 필요할 때 키보드를 사용하지 않고 자동으로 로그인 정보를 채워줍니다. 키보드로 비밀번호를 입력할 필요가 없으므로 키로거가 정보를 훔칠 수 없습니다.
1Password는 PC와 스마트폰 모두에서 사용할 수 있는 비밀번호 관리자 중 하나이며, 비밀번호와 문서를 저장할 수 있는 충분한 공간을 제공합니다. 하지만, 비밀번호 관리자를 인증하는 데 사용되는 마스터 비밀번호는 키로거에 의해 도난당할 수 있습니다. 하지만 2단계 인증을 통해 이를 방지할 수 있습니다(자세한 내용은 다음에 설명).
#6. 가능하다면 2단계 인증 활성화
2단계 인증은 추가 보안 계층을 추가하여, 보조 장치에서 추가 인증을 요청합니다. 예를 들어, 키로거에 의해 비밀번호가 유출되더라도 해커는 여전히 보조 장치에 접근해야 합니다.
대부분의 비밀번호 관리자와 인기 있는 앱/서비스는 2단계 인증 기능을 제공합니다. Google, Dropbox, Facebook, Slack, Twitter, 1Password, Zapier, Apple 계정과 같은 인기 있는 서비스에서 2단계 인증을 사용할 수 있습니다.
#7. 공공 장치 사용 피하기
공공 장치에는 소프트웨어 또는 하드웨어 기반 키로거가 설치되어 있을 수 있습니다. 민감한 정보에 접근하기 위해 공공 장치를 사용하지 마십시오. 꼭 사용해야 한다면, 나중에 안전한 PC에서 비밀번호를 변경하는 것이 좋습니다.
#8. 소프트웨어 설치를 관리자 권한으로 제한
회사 PC를 관리하는 경우, 소프트웨어 설치를 막는 것은 키로거 설치를 막는 좋은 방법입니다. 대부분의 업무용 PC는 추가 소프트웨어가 필요하지 않으므로, 사용자가 소프트웨어를 설치하지 못하도록 Windows 설정을 변경할 수 있습니다.
#9. OS를 최신 상태로 유지
구형 운영체제에는 키로거가 설치되고 실행되는 데 이용될 수 있는 보안 취약점이 있을 수 있습니다. 이는 PC와 스마트폰 모두에 해당됩니다. 운영체제는 최신 버전이어야 하며, 보안 패치를 받을 수 있을 만큼 최신 상태를 유지해야 합니다.
#10. 항상 방화벽 활성화
Windows를 사용하는 경우, 방화벽이 비활성화되어 있는지 확인해야 합니다. 키로거는 의심스러운 연결을 만들어야 하며, 일반적으로 해커에게 데이터를 다시 전송하려고 할 때 방화벽에 걸리게 됩니다. 또한, 사용자가 설정한 모든 연결을 추적하는 GlassWire를 사용해 볼 수도 있습니다(자세한 내용은 다음에 설명).
PC가 감염되었는지 감지하는 방법
보호 조치를 취한 후에도 PC가 감염되었다고 생각된다면, 감염 여부를 확인하는 데 도움이 되는 많은 단서와 도구가 있습니다. 아래에서 몇 가지 일반적인 징후를 확인할 수 있습니다.
#1. 갑자기 느려진 PC 성능
PC 성능에 영향을 줄 수 있는 원인은 최적화되지 않은 설정이나 오래된 하드웨어 등 다양하지만, 갑작스러운 성능 저하는 키로거 때문일 수 있습니다. 이러한 악성코드는 종종 잘못 코딩되어 있으며, 일부는 지속적으로 해커에게 데이터를 전송하여 PC 성능에 영향을 줄 수 있습니다.
특히 키보드와 마우스 움직임이 느려진 경우, 예를 들어 입력 시 200ms 이상의 지연이 발생하거나 마우스 커서가 임의로 사라지는 경우 키로거에 감염되었을 가능성이 있습니다.
#2. 작업 관리자 사용
작업 관리자는 실행 중인 프로세스를 정확하게 보여줍니다. Windows API 기반 키로거의 경우 작업 관리자에 표시됩니다. Ctrl + Shift + Esc 키를 눌러 작업 관리자를 엽니다.
여기에서 상단 제목 영역을 마우스 오른쪽 버튼으로 클릭하고 "게시자" 옵션을 활성화합니다. 이렇게 하면 Microsoft에서 게시한 모든 Windows 관련 프로세스를 건너뛸 수 있습니다. 나머지 중 설치했거나 잘 모르는 앱에 대한 프로세스를 찾고, 온라인에서 검색하여 합법적인 프로그램인지 확인하십시오.
#3. 최근에 액세스한 파일 확인
키로거는 보통 숨겨진 파일에 데이터를 기록하므로, 편집할 때마다 Windows의 최근 파일 목록에 표시되어야 합니다. 이 목록에는 사용자가 최근에 연 파일만 표시되므로, 열어본 기억이 없는 파일이 있다면 의심해 봐야 합니다. 해당 파일을 온라인에서 검색하거나 메모장 파일로 열어서 데이터를 확인할 수 있습니다.
Windows 11에서 최근 파일 목록에 접근하려면 시작 메뉴를 열고 우측 하단의 "자세히" 버튼을 클릭하면 최근에 열거나 편집한 모든 파일이 표시됩니다.
#4. 하드웨어 키로거 감지
하드웨어 키로거는 일반적으로 키보드 선이 연결되는 곳에 USB 포트가 있는 USB 모양입니다. 감지하기는 쉬우나, 충전기나 USB 케이블처럼 위장한 더 정교한 것도 있습니다. 일부는 CPU 내부에 설치되어 눈에 잘 띄지 않기도 합니다.
의심스러운 경우 모든 USB 포트와 키보드 선을 확인하는 것이 키로거를 찾는 가장 좋은 방법입니다. CPU 케이스를 열어 USB 포트에 추가로 연결된 것이 있는지 확인할 수도 있습니다.
#5. 네트워크 추적기 사용
GlassWire와 같은 네트워크 추적기는 의심스러운 연결을 차단하는 방화벽처럼 작동할 뿐만 아니라 모든 연결에 대한 정보를 제공합니다. 기본적으로 새로운 서버에 연결할 때마다 알림을 받도록 설정되어 있습니다. 연결을 만든 앱과 위치를 정확하게 볼 수 있습니다.
이 정보를 통해 GlassWire가 자동으로 감지하지 못하는 의심스러운 연결도 수동으로 감지할 수 있습니다.
PC가 감염되었을 경우 어떻게 해야 하는가?
PC가 감염되었다는 것을 확인했으며, 특히 키로거로 의심되는 앱을 발견했을 수도 있습니다. 해결책은 간단합니다. 제거해야 합니다. 대부분의 Windows API 기반 키로거는 일반 앱처럼 쉽게 제거할 수 있지만, 일부는 저항할 수도 있습니다.
다음은 알려진 감염이나 그렇지 않은 감염을 제거하기 위해 취할 수 있는 몇 가지 조치입니다.
제거 프로그램 사용
키로거 앱을 발견했다면 타사 제거 앱을 사용하여 삭제하는 것이 가장 좋습니다. 이러한 앱은 기본 앱뿐만 아니라 레지스트리 항목을 포함한 모든 관련 데이터도 삭제합니다. 또한, 앱이 제거되지 않는 경우 제거 프로그램은 연결된 모든 항목을 삭제하여 작동을 중지시킵니다.
IObit Uninstaller는 이러한 용도로 제가 가장 좋아하는 앱입니다. 프로그램 목록에서 키로거를 선택하거나 PC에서 직접 실행 파일을 추가할 수 있습니다. 어떤 이유로든 여전히 삭제할 수 없다면, 안전 모드로 Windows를 시작하고 다시 삭제해 보십시오.
바이러스 백신으로 정밀 검사 실행
여기에서도 Avast One을 추천합니다. 정밀 검사와 부팅 시 검사를 모두 제공합니다. 정밀 검사는 운영체제의 구석구석까지 검사하여 악성코드를 찾아냅니다. 만약 키로거를 찾아서 제거할 수 없는 경우, 부팅 시 검사는 운영체제와 커널 수준의 앱이 검사를 방해하기 전에 PC를 검사합니다.
운영체제 복원 또는 재설치
위의 두 가지 방법이 효과가 있어야 하지만, 아무것도 작동하지 않으면 감염된 장치를 처리하는 대신 재설정할 수 있습니다. 이에 대한 여러 가지 방법이 있습니다. 감염되기 전의 이전 날짜로 PC를 복원하거나, 완전히 재설정하거나, 완전히 제거하고 새 운영체제를 설치할 수도 있습니다.
Windows 설정에서 "시스템 > 복구"로 이동하여 해당 옵션을 찾을 수 있습니다. 전체 초기화를 선택하는 경우 중요한 데이터를 반드시 백업해야 합니다.
마지막 생각 💭
클릭하기 전에 읽어보고 불법/비윤리적 콘텐츠를 피하는 것만으로도 대부분의 악성코드 공격으로부터 안전할 수 있습니다. 주의를 기울이면 기본 Windows Defender와 방화벽만으로도 충분히 보호받을 수 있습니다. 주의를 기울이는 사용자에게는 Avast One과 GlassWire가 키로거 및 기타 악성코드에 대한 훌륭한 보호 조합이 될 수 있습니다.
또한, 다양한 유료 및 무료 백신 스캐너를 탐색해 볼 수도 있습니다.