키로거와 맞서 싸우기

방송통신위원회가 운영하는 블로그인 <두루누리의 행복한 상상>은, 지난 9월 29일의 “키보드 해킹을 막아라” 포스팅에서 키보드 해킹의 위험과 예방을 설명했습니다.

키보드 해킹은 키보드를 통해 입력하는 아이디, 비밀번호, 채팅, 주민등록번호, 계좌번호, 신용카드번호 등을 훔쳐갈 수 있기 때문에 피해가 생길 수 있고 이러한 악의적 행위를 하는 키로거에 당하지 않도록 주의해야 한다는 내용입니다. 옳은 말씀입니다. 하지만 그 뒤에 설명된 예방 방법에 대해서는 다른 견해를 적어보려 합니다.

해커들은 키로거라고 불리는 키보드 해킹 프로그램을 해킹 대상 컴퓨터에 깔아놓거나, 몇몇 사이트에 의도적으로 심어놓고 이 사이트를 방문한 사람들의 컴퓨터에 설치되도록 하여 암호나 계좌번호 등의 정보를 빼낸 후 본인들의 이메일로 전송하는 방식을 많이 사용합니다. 그래서 잘 모르는 사이트에 들어가거나 무조건 프로그램을 다운로드받는 일은 삼가고, 특히, 회원 가입 또는 다운로드받으면 무언가를 주는 이벤트에 조심해야겠지요?

위의 말처럼, 대개의 키로거는 사회공학적 방법을 통해 설치됩니다. 동영상 코덱이나 쓸모있는 유틸리티 등 유용한 애플리케이션인 것처럼 속여 설치하는 경우가 많습니다. 두루누리 블로그의 설명과 같이 프로그램을 다운로드해 설치하는 과정에서 속아 넘어가지 않도록 각별한 주의를 해야 합니다. 그리고 꼭 독립된 키로거 툴만 있는 것이 아니라 수많은 악성 코드가 저지르는 흔한 악성 행위이기 때문에 다른 악성 코드를 예방하는 것과 마찬가지로 백신 제품도 사용해야 하고 운영 체제나 각종 애플리케이션의 보안 패치도 꾸준히 해야 합니다.

악성 코드가 애초에 설치되는 것을 막아야지, 그 악성 코드가 이미 윈도우의 Administrator 권한을 다 획득한 상태에서 그의 동작을 하나하나 막겠다는 것은 옳지 않습니다. 즉, 악성 코드가 키로깅이 가능하다는 것은 이미 그 윈도우 상에서 어떠한 악의적 행위이든 일어날 수 있는 최악의 상태가 됐다는 것을 뜻하는데 그 위에 안티 키로거, 이른바 키보드해킹 방지 프로그램을 설치해서 키로깅을 막겠다는 것은 큰 도움이 되지 않습니다.

악성 코드가 키로깅을 하면 키로깅 막는 툴을 설치해야 하고, 인터넷 뱅킹의 계좌 번호와 금액을 메모리에서 조작할 수 있다면 메모리 조작을 막는 툴을 설치해야 하고, 스팸을 보내면 스팸을 보내지 못하게 하는 툴을 설치해야 하고, 마이크로 음성을 녹음해 파일로 보내는 도청 기능을 하면 마이크를 꺼 버리는 툴을 설치해야 할까요? 악의적 행위 하나하나를 툴로 막으려면 끝도 없습니다. 게다가 창과 방패가 똑같은 우선 순위(priority)를 갖는다면 그 악성 동작을 완벽하게 막기도 어렵습니다.

다시 두루누리 블로그로 돌아가, 이런 부분이 있습니다.

키보드 해킹은 그 방법이 특수해서 백신, 방화벽, 악성코드 치료 프로그램 등으로는 막을 수 없으며, 키보드 보안 프로그램으로만 막을 수 있습니다.

키보드 해킹 툴을 백신 등으로 막을 수 없으니 그냥 설치된 걸 인정하고 키보드 입력 값을 암호화함으로써 안전한 것으로 보자는 견해는 위험합니다. 그럼 마이크로소프트는 이런 경우에 어떤 권고를 할까요?

애초에 이런 악성 툴(키로거. 키보드 해킹 도구)이 설치되지 않게 하는 방법은 일반 악성 코드를 예방하는 방법과 똑같습니다. 늘 프로그램 설치 시 신뢰할 수 있는 것인지 주의해야 하고 백신을 켜 두고 패턴 업데이트하고 운영체제와 애플리케이션의 최신 업데이트를 설치하고 방화벽을 켜고 사용하는 등입니다. 프로그램 설치시 신뢰할 수 있는지를 결정하는 것은 언제나 어려운 일입니다. 신뢰할 수 있는지 없는지 판단하기 어렵다면 신뢰하지 말아야 합니다.

이미 이런 툴이 설치된 경우라면, 다소 과격하지만 시스템 드라이브 포맷부터 시작해 운영 체제를 다시 설치할 것을 권고합니다. 어떠한 나쁜 짓이든 할 수 있는 프로그램이 이미 설치되었다는 것은 그 뒤로는 아무 것도 믿을 수 없는 상태라고 보기 때문입니다.