키로거는 사용자가 키보드에 입력하는 모든 키 입력을 기록합니다. 따라서 비밀번호, 신용카드 번호, 개인 메시지 또는 민감한 정보를 입력하더라도 모두 기록됩니다. 특히 사용자의 동의나 인지 없이 이루어지기 때문에 공격자는 이러한 방식으로 온라인 및 다크웹에서 민감한 자격 증명을 탈취합니다. 키로거를 자주 겪어 지치셨거나, 키로거가 무엇이고 어떻게 작동하는지 알고 싶으시다면 이 가이드가 도움이 될 것입니다. 본 가이드에서는 키로거 방지에 대한 세부 내용을 다루고, 키로거 공격을 완화하기 위해 할 수 있는 조치에 대해 안내합니다. 키로거를 예방하는 방법을 알고 싶으시다면 계속 읽어보시기 바랍니다.
.jpg)
키로거 공격 예방이 중요한 이유
신용카드, 핀, CVV 코드 및 기타 민감한 정보는 주로 온라인 쇼핑 시 입력되며, 모두 키로거 공격에 의해 탈취될 수 있습니다. 개인 메시지, 이메일, 개인 차트 등이 유출되어 이후 스토킹이나 협박으로 이어질 수 있습니다.
공격자는 탈취한 자격 증명을 이용해 은행 계좌에 침입하거나 무단 거래를 시도할 수 있습니다. 한 사례로, 미국의 한 건설 회사는 키로거가 이메일을 통해 은행 자격 증명을 탈취한 후 55만 달러의 손실을 입었습니다. 금융 서비스 부문은 키로거를 통한 자격 증명 탈취로 인해 2026년 이후 사이버 범죄가 14% 증가할 것으로 예상됩니다.
키로거는 영업 비밀, 독점 소스 코드 등을 탈취하거나 내부 동료를 모니터링할 수도 있습니다. 때로는 공급망 취약점이나 대규모 컴플라이언스 위험이 발생할 수 있는데, 이는 드라이버에 내장된 키로거가 설치된 상태로 장치가 출하될 수 있기 때문입니다.
키로거 공격의 작동 방식
키로거는 종류에 따라 다양한 방식으로 작동합니다. 일반적으로 키보드의 각 키 입력에서 발생하는 신호를 가로채고 기록합니다. 이후 이 데이터를 무단 제3자에게 저장 및 전송합니다. 소프트웨어 키로거는 사용자의 동의나 인지 없이 PC에 설치되는 특수 프로그램입니다. 이들은 API 기반, 커널 기반, 폼 그랩버 등으로 분류되며, 스크린샷, 웹 브라우저 기록, 클립보드 내용까지 캡처할 수 있습니다.
하드웨어 키로거는 시스템에 물리적으로 설치해야 하는 장치입니다. 이들은 더 정확하게 정보를 캡처하며, 일반적으로 내부 메모리에 저장됩니다. 일부는 키보드 내부 회로에 내장될 수도 있습니다.
키로거의 종류
앞서 언급한 바와 같이, 소프트웨어 기반 키로거는 API 기반, 커널 레벨, 폼 그랩버, 브라우저 기반, 자바스크립트 기반 키로거로 분류할 수 있습니다. 자바스크립트 기반 키로거는 주로 웹사이트에 삽입되는 악성 스크립트로, 웹페이지 내에서 키 입력을 기록할 수 있습니다.
하드웨어 기반 키로거는 합법적인 키패드 위에 덮어씌우는 가짜 키패드(키보드 오버레이)로, ATM 스키밍 공격에 사용됩니다. USB 키로거는 장치나 키보드의 USB 포트에 연결할 수 있습니다. 또한, 각 키가 내는 고유한 소리를 기록해 입력 내용을 파악하는 어카운트 투 키로거도 있습니다. 이들은 사용자가 입력하는 비밀번호나 핀을 시각적으로 기록할 수 있어, 다양한 위치의 ATM 등에서 사용됩니다. 무선 키로거는 무선 키보드에서 수신기로 전송되는 데이터 패킷을 가로챌 수 있습니다.
키로거 감염의 일반적인 징후
키로거 감염을 식별할 수 있는 다양한 방법이 있습니다. 대표적인 징후는 다음과 같습니다:
- 장치가 갑자기 과열되거나, 다운되거나, 배터리가 빠르게 소모된다면 어딘가에 키로거가 설치된 신호일 수 있습니다.
- 키를 누른 후 화면에 문자가 나타나기까지 지연이 발생한다면, 이것도 전형적인 징후입니다.
- 알 수 없는 백그라운드 프로세스에 의한 높은 RAM 및 CPU 사용률로 시스템이 멈추거나 다운되는 현상도 주요 신호입니다.
- 마우스나 커서가 끊기거나 움직임이 느려질 수 있습니다. Windows 작업 관리자나 Mac 활동 모니터에서 이상한 아이콘이나 인식할 수 없는 프로그램이 보인다면 주의해야 합니다.
- 요청하지 않은 2FA 알림이 갑자기 오거나, 예상치 못한 위치에서 마지막 로그인 기록이 보인다면 키로거를 통한 무단 계정 접근의 신호입니다.
- 은행 프로필이나 거래 내역에 작은 무단 변경이 감지된다면, 백그라운드에서 키로거가 작동 중일 수 있습니다.
키로거 공격 예방 방법: 모범 사례
다음은 권장하는 주요 키로거 예방 모범 사례입니다:
- 코드 변경을 통해 시그니처 회피가 가능한 최신 다형성 키로거를 탐지하기 위해 AI 기반 엔드포인트 보호 솔루션을 사용하십시오.
- 비밀번호 관리자를 사용해 자격 증명을 웹사이트에 자동 입력하면 직접 입력할 필요가 없습니다. 비밀번호 관리자는 키로거가 데이터를 수집하지 못하게 하는 효과적인 방법입니다.
- 다중 인증을 활성화하는 것도 좋은 방법입니다. MFA는 모바일 PIN, 지문 등 추가 인증 요소를 적용해 공격자가 접근하지 못하도록 합니다. 비밀번호나 생체 정보가 유출되어도 모든 요소가 없으면 접근할 수 없습니다.
- 은행 및 금융 기관에서 권장하는 가상 키보드를 사용하십시오. 이는 실제 키보드 입력을 방지해 전통적인 소프트웨어 키로거가 정보를 탈취하지 못하게 합니다.
- OS 커널에서 키 입력을 암호화하는 키 입력 암호화 도구를 설치하십시오. 키로거가 데이터를 캡처하더라도 무의미한 데이터만 수신하게 됩니다.
- 저장된 문서의 백업을 외장 드라이브나 Dropbox에 보관하십시오. 키로거에 의해 파일이 유출되더라도 주요 파일을 잃지 않도록 대비할 수 있습니다. 임직원에게 키로거 공격에 대해 교육해 민감한 자격 증명을 외부에 제공하지 않도록 하십시오(사회공학 공격에 노출되지 않도록).
- temp 파일(임시 파일) 폴더를 정기적으로 삭제하십시오. 이곳은 많은 키로거가 숨어 있는 일반적인 위치입니다.
- 네트워크를 분할하고 최소 권한 원칙을 적용해 권한 상승 공격을 방지하십시오. 무단 접근 권한을 부여하지 마십시오. 신뢰하지 말고 항상 검증하십시오.
- 차세대 방화벽을 설치해 데이터 유출 패턴을 탐지하십시오. 자동 폼 입력기를 사용하면 수동 키 입력을 방지할 수 있으며, 비밀번호 관리자와 유사하게 작동합니다.
- 중요 거래에는 일회용 비밀번호를 사용하십시오. 이는 시간 제한이 있고 한 번만 사용할 수 있어 재사용이 불가능합니다.
- USB 포트 보안을 점검하고, 온라인 쇼핑 시에는 가상 카드 서비스를 이용해 일회용 카드 번호나 상점 전용 자격 증명을 생성해 반복 입력을 방지함으로써 키로거 공격을 예방할 수 있습니다.
- 운영체제, 브라우저, 플러그인을 최신 상태로 유지하고 자동 업데이트를 설정하십시오. 많은 키로거가 패치되지 않은 소프트웨어 취약점을 악용해 시스템에 침투합니다.
키로거 탐지 및 제거 방법
대부분의 바이러스 스캔은 키로거를 탐지할 수 있습니다. 브라우저의 모든 애드온이 신뢰할 수 있는 출처에서 왔는지 확인하십시오(웹사이트에 개인정보 보호 배지 아이콘과 https:// 접두사가 있는지 확인).
작업 관리자/시스템 모니터에서 실행 중인 프로세스와 시작 프로그램을 확인하십시오. 의심스러운 프로그램이 키로거로 의심된다면 DuckDuckGo에서 검색하고 프로세스 파일 경로를 확인하십시오. 실행 파일을 온라인 스캐너로 검사해 탐지되면 해당 프로세스를 종료하고 해당 디렉터리를 영구적으로 삭제하십시오.
감염이 심각하다고 판단되면 OS를 클린 설치하는 것도 방법입니다. 추가로, 마우스와 키보드에 연결된 하드웨어 동글이 있는지 확인하십시오.
키로거 위험을 높이는 일반적인 실수
부실한 사이버 보안 위생, 물리적 부주의 또는 인적 실수는 키로거 위험을 높이는 대표적인 실수입니다. 크랙 또는 불법 소프트웨어를 다운로드하면 키로거가 번들로 포함될 가능성이 높습니다. 이메일의 악성 첨부파일이나 피싱 링크를 클릭하지 마십시오. 소프트웨어 업데이트를 무시하지 말고, 일상 업무에 관리자 계정을 사용하지 마십시오.
또한, 비밀번호만 사용하는 것, 다중 인증을 사용하지 않는 것, 물리적 장치를 공공장소에 방치하는 것도 흔한 실수입니다. 민감한 작업이나 이체를 위해 공용 단말기를 사용하지 말고, 무단으로 신뢰할 수 없는 USB 장치를 사용하지 마십시오. 이러한 장치는 키로거 프로그램을 조용히 설치할 수 있습니다.
SentinelOne이 키로거 공격을 예방하는 방법
SentinelOne은 자율 AI 기반 엔드포인트 보호 플랫폼을 통해 키로거 공격을 예방할 수 있습니다. 악성 파일 시그니처뿐만 아니라 악성 행위를 식별해 더 복잡한 위협을 차단할 수 있습니다. 키보드 입력을 후킹하려는 의심스러운 패턴이나 무단 프로세스를 탐지할 수 있습니다. 누군가가 중요한 시스템 설정을 변경하려고 시도하는 경우, 데이터가 탈취되기 전에 차단할 수 있습니다. SentinelOne 에이전트는 악성 프로세스를 종료하고 관련 파일을 격리할 수 있어, 수동 개입 없이도 대응이 가능합니다.
Storyline™ 기술은 다양한 파일 및 시스템 관련 프로세스 간의 연관성을 자동으로 파악합니다. SentinelOne 플랫폼은 키로거 공격을 직접적으로 차단하거나 실제 키 입력을 기록하지는 않습니다. 그러나 키로거 공격에 자주 동반되는 프로세스 및 악성 파일을 모니터링할 수 있습니다. 예를 들어, 공격자가 악성 스크립트를 삽입해 네트워크나 시스템에서 키로거를 실행하려고 시도하면 SentinelOne이 이를 탐지, 플래그, 격리할 수 있습니다. 또한, 설정 및 시스템 변경 사항을 감염 이전 상태로 롤백할 수 있습니다.
SentinelOne은 자격 증명 탈취 방지를 위한 비밀 보호, 비밀 교체, 최소 권한 원칙 적용 등 특정 기능을 제공합니다. 많은 키로거가 악성코드 페이로드 형태로 전달되며, SentinelOne은 이를 탐지하는 데 강점을 가지고 있습니다. 트로이목마, 랜섬웨어, API 기반 키 입력 가로채기 요청, 무단 키보드 후킹도 SentinelOne의 행위 기반 AI로 실시간 모니터링 및 차단할 수 있습니다.
Enhance Your Threat Intelligence
See how the SentinelOne threat-hunting service WatchTower can surface greater insights and help you outpace attacks.
Learn More결론
이제 키로거가 어떻게 작동하고, 어떤 방식으로 운영되며, 온라인과 오프라인에서 어떤 종류의 키로거를 만날 수 있는지 알게 되셨을 것입니다. 효과적인 키로거 예방을 위해 필요한 조치를 취하시기 바랍니다. 임직원에게 키로거 메커니즘에 대해 교육해 스스로를 더 잘 보호할 수 있도록 하십시오. 추가 지원이 필요하다면 언제든 SentinelOne 팀에 문의하시기 바랍니다. 맞춤형 안내를 통해 키로거 예방을 도와드릴 수 있습니다.
자주 묻는 질문
키로거 공격은 누군가가 소프트웨어 또는 하드웨어를 설치하여 키보드에 입력하는 모든 내용을 기록할 때 발생합니다. 여기에는 비밀번호, 신용카드 번호, 메시지, 검색 쿼리 등이 포함됩니다. 공격자는 이 정보를 원격으로 접근하거나 장치에서 직접 가져올 수 있습니다. 키로거는 종종 악성코드, 피싱 이메일, 또는 컴퓨터에 연결된 물리적 장치를 통해 배포됩니다. 일단 설치되면, 사용자가 인지하지 못하는 사이 백그라운드에서 조용히 작동합니다.
키로거는 악성 다운로드, 감염된 이메일 첨부파일, 손상된 웹사이트를 통해 시스템에 침투합니다. 합법적으로 보이는 파일을 다운로드했지만, 그 안에 키로거 코드가 숨겨져 있을 수 있습니다. 피싱 이메일은 링크를 클릭하거나 첨부파일을 열도록 유도하여 키로거를 설치하게 만들 수 있습니다. 일부 경우에는 공격자가 트로이화된 소프트웨어를 사용하거나 운영 체제의 취약점을 악용하기도 합니다. 또한 키로거는 키보드와 컴퓨터 사이에 소형 하드웨어 장치로 물리적으로 설치될 수도 있습니다.
운영 체제와 소프트웨어를 최신 패치로 업데이트하여 키로거를 예방할 수 있습니다. 신뢰할 수 있는 안티바이러스 또는 안티멀웨어 솔루션을 설치하고 정기적으로 검사를 실행하십시오. 신뢰할 수 없는 출처에서 파일을 다운로드하지 말고, 이메일 첨부 파일을 열 때 주의하십시오. 다중 인증을 사용하여 공격자가 탈취한 비밀번호만으로 접근하지 못하도록 하십시오. 또한 시스템에서 비정상적인 활동을 모니터링하고, 안전하고 검증된 웹사이트만 방문해야 합니다. 추측하기 어려운 강력하고 고유한 비밀번호를 사용하면 비밀번호가 유출되더라도 위험을 줄일 수 있습니다.
징후로는 컴퓨터가 평소보다 느리게 작동하거나 자주 멈추는 현상이 있습니다. 예기치 않은 네트워크 활동이나 높은 디스크 사용량이 나타날 수 있습니다. 마우스가 스스로 움직이거나 프로그램이 클릭하지 않았는데도 열릴 수 있습니다. 인터넷 연결이 느려지거나 작업 관리자에서 익숙하지 않은 프로세스가 실행 중인 것을 볼 수 있습니다. 무작위로 팝업이 나타나거나 백신 소프트웨어가 비활성화되는 경우도 있습니다. 키로거가 의심된다면 즉시 시스템을 네트워크에서 분리하십시오.
네, 하드웨어 키로거는 키보드와 컴퓨터 사이에 물리적으로 연결되는 장치이기 때문에 탐지하기 더 어렵습니다. 안티바이러스 소프트웨어로는 이를 찾을 수 없습니다. 하드웨어 키로거를 발견하려면 직접 장비를 점검해야 합니다. 소프트웨어 키로거는 보안 도구와 안티바이러스 검사로 더 쉽게 탐지할 수 있습니다. 그러나 하드웨어 키로거는 누군가 컴퓨터를 훔치거나 다른 키보드를 사용할 경우 작동하지 않습니다. 또한 설치를 위해 물리적 접근이 필요하므로 공격자가 동시에 침해할 수 있는 대상이 제한됩니다.
아니요, VPN은 키로거 공격을 예방할 수 없습니다. VPN은 장치와 VPN 서버 간의 인터넷 트래픽만 암호화하므로 공격자가 방문하는 웹사이트를 볼 수 없습니다. 그러나 키로거가 이미 컴퓨터에 설치되어 있다면, 암호화되기 전에 키 입력을 기록합니다. VPN은 장치 내의 로컬 위협으로부터 보호하지 않습니다. 키로거에 효과적으로 대응하려면 여전히 안티바이러스 소프트웨어, 강력한 비밀번호, 다중 인증이 필요합니다.
