[논문]키로깅을 통한 정보유출 실시간 탐지 솔루션 설계 및 구현

최인영; 최지훈; 이원열

doi:10.9717/kmms.2014.17.10.1198

[국내논문] 키로깅을 통한 정보유출 실시간 탐지 솔루션 설계 및 구현
A Design and Implementation of a Solution for Real Detection of Information Leakage by Keylogging Attack 원문보기

멀티미디어학회논문지 = Journal of Korea Multimedia Society, v.17 no.10, 2014년, pp.1198 - 1204

최인영 (Dept. of Information Security Graduate School, Young San University) , 최지훈 (Dept. of Cyber Police and Science, School of Engineering, YoungSan University) , 이원열 (Dept. of Cyber Police and Science, School of Engineering, YoungSan University)

Abstract ▼ AI-Helper

Most of vaccine type security solutions detect intrusion of computer virus or malicious code. However, they almost don't have functionalities of the information leakage detection. In particular, information leakage through keylogging attact cannot be detected. In this paper, we design and implement a solution to detect the leakage of information through keylogging attact. Proposed solution detects the user-specified information in real time. To detect the leakage of user-specified information, the solution extracts the payload field from each outbound packet and compares with user-specified information. We design the solution to reduce the effect on the packet transmission delay time due to packet monitoring operation. And we design a simple user interface. By proposed solution, user can response to intrusion or information leakage immediately because he or she can perceives a leakage of information in real time.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

패킷 복사 방법은 Libpcap 라이브러리를 사용하는 경우인데 이 방법은 패킷 처리와 분리되어 동작하므로 패킷 처리 시간에 영향을 주지 않고 동작시킬 수 있다는 장점이 있다. 본 논문에서는 윈도우 환경에서 Libpcap 라이브러리를 지원하도록 만든 Winpcap 라이브러리를 사용하여 구현하였다. Fig.
지금까지 키로깅과 같이 사용자가 인식하지 못하는 사이에 중요한 정보가 유출이 되는 것을 효과적으로 탐지해 주는 솔루션이 없었던 것이 사실이다. 본 논문에서는 이러한 문제를 아주 간단하게 해결해 줄 수 있는 보안 솔루션을 제안하였다. 다만 데이터가 응용 단계에서부터 암호화 되어 전송이 되는 경우에는 본 솔루션이 탐지할 수가 없었다.
그 외에 비전문가들이 사용하기 쉬운 사용자 인터페이스가 제공되어야 한다. 본 논문에서는 이러한 요구를 충족시키는 보안 솔루션을 설계하고 구현하였다. Fig.
본 논문에서는 키로깅 공격 등 의해 사용자의 의도와 관계없이 사용자가 지정한 데이터가 외부로 전송되는 것을 탐지하고 알려주는 보안 솔루션을 설계하고 구현하였다. 제안하는 솔루션은 사용자가 지정한 특정 정보가 유출되는 것을 탐지하기 위해 외부로 전송되는 패킷의 페이로드 영역을 추출하여 판단한다.
본 논문에서는 키로깅 공격을 통한 정보유출을 실시간으로 탐지하고 사용자에게 알림을 주는 솔루션을 설계하고 구현하였다. 제안한 솔루션은 패킷의 페이로드 부분을 추출하여 로그인 정보, 업로드 파일정보, 파일의 내용을 실시간으로 탐지한다.
본 논문에서는 키보드 값을 저장하여 메일로 보내는 키로깅 악성프로그램으로 인해 PC 내부의 데이터 유출 여부와 유출된 데이터 중 자신이 지정한 정보의 유출 여부를 체크한다. DLP 솔루션의 경우 특정 파일을 업로드 할 때 업로드를 차단한다.
사용자들이 인식하지 못하는 동안 자신의 주요한 정보가 유출되는 것을 탐지해 주는 것이 본 논문에서 설계하고 구현한 보안 솔루션의 목적이다. 따라서 시스템에서 외부로 전송되는 패킷들에 대한 검사 기능과, 패킷의 페이로드 부분에 주요 데이터가 있는지 여부를 검사하는 기능이 있어야 한다.

제안 방법

제안하는 솔루션은 사용자가 지정한 특정 정보가 유출되는 것을 탐지하기 위해 외부로 전송되는 패킷의 페이로드 영역을 추출하여 판단한다. 그리고 솔루션의 패킷 감시 동작으로 인해 패킷전송 지연 시간이 증가하는 것을 줄일 수 있도록 솔루션 동작을 설계하였다. 또한 일반 사용자들도 쉽게 사용할 수 있도록 인터페이스는 편이성을 중심으로 디자인하였다.
Data Matching Module은 Packet Capture Module에서 전달받은 파일이름을 통해 저장장치를 검색하고, 파일이 존재하면 파일의 절대경로를 획득한다. 그리고 획득한 절대경로를 이용해 파일의 내용과 데이터베이스에 저장된 사용자의 문자열을 비교한다. 만일, 사용자가 지정한 문자열과 동일한 문자열이 해당 파일에 존재한다면, User Interface Module에 해당 문자열과 목적지 주소 정보를 전달한다.
본 논문에서 테스트 한 툴의 경우, 리포트 파일의 전송을 메일과 FTP로 전송한다. 따라서 설정한 서버로 파일이 전송될 때, 제안하는 솔루션의 정상 작동 여부를 확인하였다. 테스트 내용은 파일이 업로드 될 때 파일 이름과 파일의 절대경로 획득 여부, 파일내용 중 사용자가 지정한 패턴의 존재 유무 확인 그리고 부가적으로 FTP, Web 로그인 여부에 대해 확인하였다.
외부로의 정보유출은 바이트 단위로 유출되는 경우, 파일 내에 포함이 되어 유출되는 경우 그리고 WEB을 통해 유출되는 경우 등 다양한 방식으로 이루어진다. 따라서 현재 이루어지고 있는 키로깅 공격의 형태를 분석하여 정보유출 방식에 따른 정보유출 탐지 동작을 구현하였다.
부가적으로, 파일을 업로드 할 때 로그인을 수행한다는 점을 이용하여 FTP와 웹 사이트에서의 로그인 상황을 실시간으로 탐지하고 사용자에게 알릴 수 있는 기능도 구현하였다. 보안 솔루션의 기능 검증을 위해 테스트베드를 구축하여 솔루션의 동작을 테스트 하였다. 웹 서버, 해커 호스트, 일반 클라이언트 호스트를 동일 네트워크에 구성하여 일반 클라이언트 호스트에 키로깅 프로그램을 설치하였다.
본 논문에서 제안한 보안 솔루션의 동작 및 기능검증을 위해 테스트베드를 구축하였다. 테스트베드는 일반 클라이언트 호스트, 웹서버, FTP 서버, Telnet 서버, Mail 서버로 구성하였다.
본 논문에서 테스트를 위해 사용한 툴은 Actual Keylogger로 PC에서 입력되는 Keystrokes 값을 기록하고 리포트를 생성하여 FTP, E-mail, local network IP로 일정 시간마다 전송한다. 해당 툴과 동일한 기능을 가진 프로그램으로 Refog Keylogger, Free Keylogger, Ghost Keylogger 등 이 있다.
전송되는 패킷 혹은 첨부 파일에 사용자가 지정한 패턴과 일치하는 내용이 있다면 경고 메시지 창을 이용하여 해당 정보가 사용 중임을 사용자에게 알려준다. 부가적으로, 파일을 업로드 할 때 로그인을 수행한다는 점을 이용하여 FTP와 웹 사이트에서의 로그인 상황을 실시간으로 탐지하고 사용자에게 알릴 수 있는 기능도 구현하였다. 보안 솔루션의 기능 검증을 위해 테스트베드를 구축하여 솔루션의 동작을 테스트 하였다.
키로깅 악성코드에는 해커의 FTP 서버주소, 포트번호, 아이디, 패스워드, E-mail 주소 등 모두 설정되어있다. 설치한 키로깅 프로그램으로 생성되는 입력키 정보를 다양한 방법으로 외부로 유출시키면서 솔루션의 동작을 테스트하였다.
Packet Capture Module은 지정한 정보의 외부 유출 여부를 탐지하기 위해 아웃바운드 Packet을 검사한다. 시스템 부하를 줄이기 위해 전체 패킷 중에 정보유출 가능성이 있는 패킷만 필터링하여 검사하도록 하였다. 키로깅 공격의 경우 메일, Telnet, FTP를 이용해 정보를 유출시킴으로 해당 패킷들을 탐지 대상으로 하였다.
보안 솔루션의 기능 검증을 위해 테스트베드를 구축하여 솔루션의 동작을 테스트 하였다. 웹 서버, 해커 호스트, 일반 클라이언트 호스트를 동일 네트워크에 구성하여 일반 클라이언트 호스트에 키로깅 프로그램을 설치하였다. 일반 클라이언트 호스트에서 키로깅 정보가 유출될 때 제안 솔루션이 탐지하고 사용자에게 알리는 것을 확인할 수 있었다.
이때 지정된 서버의 주소, 웹 메일로 로그인을 수행한 후 파일을 전송한다. 이에 따라 본 솔루션은 파일 유출 실시간 탐지 이외에 FTP, 웹 사이트 로그인 여부도 실시간으로 탐지할 수 있도록 구현하였다. 동작 방식은 파일 업로드 탐지와 동일한 방식으로 진행된다.
본 논문에서는 키로깅 공격 등 의해 사용자의 의도와 관계없이 사용자가 지정한 데이터가 외부로 전송되는 것을 탐지하고 알려주는 보안 솔루션을 설계하고 구현하였다. 제안하는 솔루션은 사용자가 지정한 특정 정보가 유출되는 것을 탐지하기 위해 외부로 전송되는 패킷의 페이로드 영역을 추출하여 판단한다. 그리고 솔루션의 패킷 감시 동작으로 인해 패킷전송 지연 시간이 증가하는 것을 줄일 수 있도록 솔루션 동작을 설계하였다.
본 논문에서는 키로깅 공격을 통한 정보유출을 실시간으로 탐지하고 사용자에게 알림을 주는 솔루션을 설계하고 구현하였다. 제안한 솔루션은 패킷의 페이로드 부분을 추출하여 로그인 정보, 업로드 파일정보, 파일의 내용을 실시간으로 탐지한다. 전송되는 패킷 혹은 첨부 파일에 사용자가 지정한 패턴과 일치하는 내용이 있다면 경고 메시지 창을 이용하여 해당 정보가 사용 중임을 사용자에게 알려준다.
따라서 설정한 서버로 파일이 전송될 때, 제안하는 솔루션의 정상 작동 여부를 확인하였다. 테스트 내용은 파일이 업로드 될 때 파일 이름과 파일의 절대경로 획득 여부, 파일내용 중 사용자가 지정한 패턴의 존재 유무 확인 그리고 부가적으로 FTP, Web 로그인 여부에 대해 확인하였다.

대상 데이터

본 논문에서 제안한 보안 솔루션의 동작 및 기능검증을 위해 테스트베드를 구축하였다. 테스트베드는 일반 클라이언트 호스트, 웹서버, FTP 서버, Telnet 서버, Mail 서버로 구성하였다. 서버 환경은 윈도우7 운영체제에 FTP, Mail, Telnet 서버를 설치하였다.

성능/효과

본 논문에서 제안하는 보안 솔루션의 동작을 검증하기 위해 테스트베드를 구축하여 실험해본 결과 우리가 의도한대로 정확하게 동작함을 알 수 있었다. 외부로 전송되는 패킷에 대한 검사를 통해 얻을 수 있는 정보는 매우 많을 것이라 예상한다.
웹 서버, 해커 호스트, 일반 클라이언트 호스트를 동일 네트워크에 구성하여 일반 클라이언트 호스트에 키로깅 프로그램을 설치하였다. 일반 클라이언트 호스트에서 키로깅 정보가 유출될 때 제안 솔루션이 탐지하고 사용자에게 알리는 것을 확인할 수 있었다.

후속연구

기존의 보안 프로그램에서 탐지하지 못했던 것을 본 솔루션에서 해결해 줌으로써 사용자들이 보다 안전하게 네트워크 서비스를 사용할 수 있을 것이라 기대한다. 또한 키로깅 공격뿐만 아니라 다양한 분야에 적용할 수 있도록 확장 가능하리라 예상한다.
기존의 보안 프로그램에서 탐지하지 못했던 것을 본 솔루션에서 해결해 줌으로써 사용자들이 보다 안전하게 네트워크 서비스를 사용할 수 있을 것이라 기대한다. 또한 키로깅 공격뿐만 아니라 다양한 분야에 적용할 수 있도록 확장 가능하리라 예상한다.
다만 데이터가 응용 단계에서부터 암호화 되어 전송이 되는 경우에는 본 솔루션이 탐지할 수가 없었다. 향후 이러한 한계를 극복할 수 있는 솔루션에 대한 연구를 지속할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	DLP솔루션은 무슨 기능을 하는가?	DLP솔루션은 출력물 워터마트 삽입, 기밀파일 업로드 제한, 외장형 하드웨어로 파일 복사 제한 등 다양한 기능을 지원한다. 하지만 대부분이 기업용이라 일반 사용자가 접하기 힘들다.
	보안 솔루션의 목적을 달성하기 위해 필요한 기능은 무엇인가?	사용자들이 인식하지 못하는 동안 자신의 주요한 정보가 유출되는 것을 탐지해 주는 것이 본 논문에서 설계하고 구현한 보안 솔루션의 목적이다. 따라서 시스템에서 외부로 전송되는 패킷들에 대한 검사 기능과, 패킷의 페이로드 부분에 주요 데이터가 있는지 여부를 검사하는 기능이 있어야 한다. 그 외에 비전문가들이 사용하기 쉬운 사용자 인터페이스가 제공되어야 한다.
	키로깅(Keylogging)의 정의는 무엇인가?	키로깅(Keylogging)이란 키스트로크로깅(Keystroke logging)으로도 불리며 사용자가 키보드로 PC에 입력하는 내용을 가로채어 특정 파일 등에 기록하는 행위를 말한다. 키로깅은 하드웨어, 소프트웨어를 활용한 방법, 마이크녹음, 웹캠 촬영 등 다양한 키로깅 방법이 존재한다.

참고문헌 (10)

2013 Trustwave Global Security Report(2013), https://www.trustwave.com (accessed Aug, 04, 2014).
G.H. Kim, "Keylogging," http://blogsabo.ahnlab.com/m/post/1827 (accessed Aug, 01, 2014).
H.J Kim, J.H Kim, A. Lee, "Consideration from the Point of View of Personal Information Protection Trends and Detection Technology of Information Leakage," Korea Information Processing Society, Vol. 17, No. 2, pp. 52-58, 2010.
G.H Nam, H.S Kang, J.H Gil, and S.I Kim, "Data Loss Prevention(DLP) Technology Trends," National IT Industry Promotion Agency, Vol. 1413, pp. 1-9, 2009.
McAfee DLP Prevent(2013), http://www.mcafee.com/mx/resources/data-sheets/dsdlp-prevent.pdf (accessed Jul, 17, 2014).
Endpoint DLP/Discovery(2014), http://www.somansa.com/dlp/dlp_03.asp (accessed Jul, 20, 2014).
Symantec Data Loss Prevention(2014), http://www.symantec.com/ko/kr/data-loss-prevention (accessed Aug, 01, 2014).
K.K. Lee, Required of Information Leak Prevention Security Solution DLP , Network Times, pp. 178-182, 2012.
Concert Security Consumer Report(2011), http://www.concert.or.kr/Security_Consumer_Report.pdf (accessed Jul, 22, 2014).
E. Kim, Y.S. Lee, M.S. Jung, "Design and Implementation of anAuthentication System for Anti-Forgery using the Smart Card," Joutnal of Korea Multimedia Society Vol. 14, No. 2, pp. 249-257 Feb. 2011.

원문보기 상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증