최신 키로거 공격 막기에는 역부족

주로 이용자 모르게 PC에 트로이목마 삽입

게임접속시, ID/패스워드 그대로 노출

키로거(Keylogger) 공격이 시간이 지나면서 진화를 거쳐 더욱 다양해지고 교묘해지고 있어 현재 상용되고 있는 키보드 보안 솔루션들이 막아내는데 한계를 보이고 있다.

지오트 바이러스 분석실 안창용 팀장은 “과거 키로거는 키보드 입력시 발생하는 키 이벤트를 가로채서 txt 파일이나 버퍼에 저장했다가 악의적인 사용자에게 전송하는 방식이었다. 이런 문제를 보완하기 위해 최근 사용되는 키보드 보안 솔루션이 나온 것”이라고 말했다.

한편, 최근에는 온라인게임 위주의 특정 대상을 목표로 최신 기법을 사용하여 트로이목마를 이용자가 알 수 없도록 심어놓고, 윈도우 부팅시 자동으로 트로이목마가 실행될 수 있도록 하는 방법을 주로 사용한다고 한다.

안창용 팀장은 “요즘 공격방법은 웹 페이지의 로그인 변수 또는 게임이 사용하는 클래식 등 특정 조건이 일치할 때, 키로깅이 동작하는 수법을 사용하고 있다. 이용자 PC 메모리 어딘가에 발견할 수 없도록 키로거 프로그램을 숨겨놓고 게임사용자가 게임에 로그인하면 아이디와 패스워드가 공격자의 PC에 암호화 되지 않은 상태 그대로 노출된다”고 설명했다.

또한, 그는 “키로거 프로그램이 신뢰할 수 있는 다른 프로그램 사이에 주입(Injection)되기 때문에 현재 많이 사용하고 있는 키보드 보안 솔루션으로 이를 막는데는 한계가 있다”고 강조했다.

한편, 탐지가 가능하다해도 여러 정상 프로세스에 주입되어 실행되기 때문에 완전제거가 힘들다고 한다. 이를 완전제거하기 위해서는 내 PC의 정상 프로그램을 다 지워야 가능할 정도다.

즉, 윈도우 내부의 여러 프로그램 사이에 자신을 복사해 숨어있다가 게임사용자가 게임을 시작하면 바로 키로깅 작업을 시작하는 것이다. 또, 공격자 PC에는 이용자가 특정 사이트를 방문해 기입한 아이디와 패스워드, 주민등록번호, 계좌번호 등도 모두 볼 수 있기 때문에 이를 악용할 수 있는 상황이다.

특히, 이런 악성 프로그램은 중국 아이피를 통해 국내에 유입되고 있으며, 중국 해커는 국내 사이트에 이런 키로거 프로그램을 숨겨놓고 게임 사용자들의 아이디와 패스워드를 갈취 후, 게임 아이템을 빼내 거래 사이트에서 아이템을 팔아 돈을 버는 수법을 쓰고 있다.

또 이들은 사용자로부터 훔친 아이디와 비밀번호를 ‘www.****game.com’과 같은 URL이나 샌드메일 등을 이용해 중국으로 자동발송되도록 교묘한 방법을 사용하고 있다. 

심각한 문제는 바로 현재 사용하고 있는 키보드 보안 솔루션들이 이와 같은 트로이목마에 대해서는 무용지물이라는 것.

한 보안전문가는 “과거 단순기법들은 키보드 보안 솔루션으로 막을 수 있지만, 최근 트로이목마를 차단하기란 역부족”이라며, “이는 인터넷 익스플로러의 구조적인 문제 때문이기도 하다. KISA나 키보드 보안 솔루션 업체들에서도 이를 인지하고 있으며 이에 대한 고민들을 하고 있다. 하지만 현재까지 해결책은 나오지 않고 있다”고 말했다.

결론은 현재 최신 트로이목마를 이용한 키로거 공격을 막을 수 있는 키보드 보안 솔루션은 없다는 것.

피해를 최소화하기 위한 방안으로, 지오트 안 팀장은 “원천적으로 방어하기 위해서는 내 PC에 트로이목마가 존재하지 않아야 한다. 이용자 입장에서 최선의 예방법은 키보드 보안 솔루션과 안티바이러스나 방화벽이 포함된 통합보안 솔루션을 사용하는 것이 좋다. 그리고 주기적인 보안 업데이트를 실행하는 것이 중요하다”고 강조했다.

또한, 그는 "업체 입장에서는 강력한 인증체계를 구축하는 것이 중요하다. 그래서 불법으로 게임사이트에 가입하는 것을 차단해야 한다. 트로이목마는 웹해킹과 연결되기 때문에 업체에서는 결함 발견시 소스코드를 수정하고 취약점을 제거해 나가는 장기적인 보안 컨설팅 계획을 수립해야 한다"고 말했다.   

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>