정보 유출 키로거 악성코드 사례

이번 에세이에서는 정보를 유출하는 악성코드 중 하나인 키로거(Keylogger)에 대해서 다뤄보겠습니다. 키로거는 정보 유출한다는 점에서 스파이웨어의 한 종류로 분류되기도 하는데, 사용자가 입력한 키 정보를 직접적으로 가져간다는 것에 포커스를 맞추시면 될 것 같습니다. 예전에는 보통 게임 계정을 탈취하기 위해서 PC방에 있는 컴퓨터에 키로거를 몰래 설치해두고, 다른 사람의 게임 계정 정보를 얻어 캐시나 아이템을 빼내갔다고 하는데요. 지금은 트로이목마나 스파이웨어 같은 악성코드에는 기본적으로 키로거의 기능이 들어가 있다고 보시면 됩니다. 그럼 이에 대해 간단히 설명드리도록 하죠.

​

키로거(Keylogger)가 무엇인지에 대해서 먼저 말씀드리겠습니다. 먼저 로그(log)라고 부르는 건 시스템에서 프로그램에서 발생하는 행위나 이벤트에 대한 기록이라고 보시면 되는데요. 그래서 키로거는 사용자가 입력하는 키(Key) 입력에 대한 내용을 가로채는 프로그램으로 보시면 됩니다. 보통 공인인증서나 뱅킹 사이트에서 로그인을 할 때 키로깅(Keylogging) 기법을 이용해서 가상 키보드를 구현하는데, 마찬가지로 키로거 악성코드도 이 기법을 이용하여 사용자의 입력을 가로채죠.

​

그럼 여기서 키로거가 사용자의 입력을 어떻게 가로채는지 기술적인 내용을 말씀드려보겠습니다. 사용자가 키보드에서 'A'라는 키를 입력하면 먼저 하드웨어 키 이벤트가 발생하고, 해당 이벤트가 운영체제의 메시지 큐(Message Queue)라는 곳에 메시지로 추가되는데요. 그러면 운영체제는 요 메시지를 어떤 프로그램에 보낼지 확인해서 전달하는데, 운영체제와 프로그램 중간에는 훅 체인(Hook Chain)이라는 것이 존재하여 이를 통해 프로그램보다 먼저 메시지를 확인할 수 있습니다. 이 훅 체인에 미리 훅(Hook)을 걸어놓으면 프로그램에 전달되기 전에 메시지를 가로채거나 조작할 수 있죠. 이러한 기법을 메시지 후킹이라고 하는데 키로거가 이 기법을 사용하여 구현됩니다.

​

위에서 설명드린 내용이 이해가 안되면, 단순히 내가 키보드에서 친 키 입력을 다른 프로그램에서 가로챌 수 있구나.. 정도로만 기억하시면 될 것 같구요. 일반적으로 키로거 악성코드에서 사용자의 입력을 가로채 텍스트 파일에 써놓고, 일정 시간마다 SMTP(Simple Mail Transfer Protocol)나 FTP(File Transfer Protocol)로 해커가 지정해 놓은 서버로 전달하게 됩니다. 물론 최근에는 백신에서 다른 프로그램이 메시지 훅을 거는 것 자체를 방지하고 있지만, 우회하는 방법은 얼마든지 있기 때문에 완전하게 막아주진 못한다는 것을 아셔야겠죠.

견적·구매 문의에다 대북관련 질의서까지... 요즘 메일은 악성코드 ‘지뢰밭’

이번에 인용한 기사의 경우 4월 1주차의 악성코드 통계를 기반으로 동향을 설명해주고 있는데요. 키로거 뿐만 아니라 대북관련 질의서를 내용으로한 한글 문서(HWP 파일) 형태로 메일을 통해 다양한 정보 탈취형 악성코드가 유포되었다고 합니다. 이후에 한글 문서 악성코드에 대해 다루겠지만, 여기서는 한글 문서는 자바 스크립트(javascript)를 통해 매크로가 작성된다는 점을 기억해두시면 될 것 같습니다. 그럼 오늘은 여기까지 말씀드리고 이후에 더 자세히 설명드리도록 하겠습니다. 그럼 오늘은 여기서 줄이죠. 감사합니다.