[논문]가상키보드 비밀번호 유출 분석

양희동; 이만희

doi:10.13089/jkiisc.2022.32.5.827

[국내논문] 가상키보드 비밀번호 유출 분석
Analysis of the Password Leaking in Virtual Keyboard 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.32 no.5, 2022년, pp.827 - 835

양희동 (KAIST 사이버보안연구센터) , 이만희 (한남대학교)

초록
AI-Helper

온라인상에서 안전하게 금융서비스를 이용하기 위해서는 사용자를 인증하는 기술이 요구된다. 키보드를 사용한 비밀번호 입력 방식이 가장 일반적이나, 키보드 입력이 쉽게 유출될 수 있음이 알려짐에 따라 많은 인터넷 뱅킹 서비스 및 간편 결제 서비스에서는 가상키보드를 사용하고 있다. 하지만 안전할 것이라는 기대와 달리, 가상키보드 역시 키보드 입력이 유출될 위험성이 존재했다. 본 논문에서는 가상키보드의 비밀번호 유출 가능성을 분석하고, PC 환경에서 마우스 이벤트 후킹과 화면캡처를 활용한 비밀번호 유출 방안을 제시했다. 또한, 국내 유명 인터넷 뱅킹 웹사이트 및 간편결제 서비스에서 비밀번호 유출 공격 가능성을 직접 검사하였으며, 그 결과 PC 운영체제에서 수행되는 가상키보드를 통한 비밀번호 입력방식이 안전하지 않음을 검증하였다.

Abstract ▼ AI-Helper

In order to use online financial services, user authentication technology is necessary. Password check through keyboard typing is the most common technique. However, since it became known that key stokes on the keyboard can be intercepted easily, many Internet banking services and easy payment services have adopted the virtual keyboard. However, contrary to the expectation that the virtual keyboard will be safe, there is a risk that key strokes on the virtual keyboard can be leaked. In this paper, we analyzed the possibility of password leaking on the virtual keyboard and presented a password leaking method using mouse event hooking and screen capture in PC operating system. In addition, we inspected the possibility of password leak attacks on several famous Korea Internet banking websites and simple payment services, and as a result, we verified that the password input method through the virtual keyboard in the PC operating system is not secure.

Keyword

표/그림 (10)

그림 Fig. 1. Keylogger when keyboard security program running
그림 Fig. 2. Using screen protect API
그림 Fig. 3. Virtual keyboard with random array
그림 Fig. 4. Virtual keyboard with multi mouse
그림 Fig. 5. Attack script flow using mouse event hooking
그림 Fig. 6. Password leaking result
표 Table 1. Commercial Remote Control Program
그림 Fig. 7. Simple Payment service using smart phone application
표 Table 2. Password leaking result of domestic internet banking service
표 Table 3. Password leaking result of Simple Payment service

AI 본문요약
AI-Helper

문제 정의

대부분의 인터넷 뱅킹 서비스 및 간편 결제 서비스 제공자는 키보드나 가상키보드로 입력받은 비밀번호를 안전하게 메모리에 저장하고 전송하기 위한 보안 기술에 집중한다. 하지만 키로깅과 같이 웹브라우저를 통해 비밀번호가 서버로 전송되기 전 비밀번호 입력과정에서도 비밀번호 유출이 가능하므로 본 논문에서는 마우스 이벤트 후킹과 화면 캡처를 통해 가상 키보드로 입력하는 비밀번호 유출 공격을 제시하고, 비밀번호 유출 가능성을 검증하였다.

제안 방법

따라서 본 논문에서는 가상키보드를 사용하여 비밀번호 입력하는 과정에서의 비밀번호 유출 가능성을 중점으로 다루며 구성은 다음과 같다. 2장에서는 비밀번호 입력단계에서 비밀번호 값을 유출하는 데 사용할 수 있는 후킹 기술을 소개하고 비밀번호 유출을 막기 위한 기존 방어기술을 소개한다.
먼저, 가상키보드에 입력하는 비밀번호를 유출하기 위해 대표적인 방법인 마우스 좌표 정보 및 클릭 이벤트 후킹을 사용하여 공격 스크립트를 만들어 가상 키패드를 사용하는 플랫폼에서 비밀번호 유출 가능성을 검증하였다. 마우스 이벤트 후킹을 사용한 비밀번호 유출 공격 스크립트는 Fig.
이때 키보드의 입력값도 같이 후킹하여 클릭 이미지와 함께 일정한 주기로 공격자에게 전달하게 한다. 본 논문에서는 비밀번호를 좀 더 정확히 확인하기 위해 캡처된 이미지에서 클릭 이벤트가 발생한 좌표를 작은 점으로 추가로 표기하여 SMTP를 사용하여 공격자의 메일로 전송하도록 공격을 수행하였다. 해당 공격 스크립트를 사용하여 비밀번호 유출 공격을 수행한 결과, Fig.
하지만 이를 악용하면 가상키보드로 입력하는 비밀번호를 유출할 수 있다. 따라서 상용 원격 제어 프로그램을 사용하여 가상키보드를 사용하는 플랫폼에서의 비밀번호 유출 가능성을 검증하였다.
본 논문에서는 이미지 인증방식을 사용한 실제 웹사이트에서의 비밀번호 유출 방안의 효용성을 증명하기 위해 3장에서 소개한 방법을 사용하여 비밀번호 유출 실험을 직접 수행하였다. Windows 11(MS Eage & Google Chrome), Mac OS 12.

대상 데이터

Windows 11(MS Eage & Google Chrome), Mac OS 12.4(Safari), 구름OS 3.0(구름 브라우저), Ubuntu 20.04(Firefox)에서 각각 실험하였으며 웹페이지에서 제공하는 보안 프로그램을 모두 설치한 뒤 비밀번호 유출 공격을 수행하였다.

성능/효과

본 논문에서는 비밀번호를 좀 더 정확히 확인하기 위해 캡처된 이미지에서 클릭 이벤트가 발생한 좌표를 작은 점으로 추가로 표기하여 SMTP를 사용하여 공격자의 메일로 전송하도록 공격을 수행하였다. 해당 공격 스크립트를 사용하여 비밀번호 유출 공격을 수행한 결과, Fig.6.과 같이 은행 웹사이트에서 가상키보드를 사용한 비밀번호를 입력한 순서대로 유출할 수 있었다. Fig.
이때 가상키보드에서 비밀번호를 입력하는 과정을 모두 훔쳐보기 위해서는 피해자의 마우스 포인터를 실시간으로 모니터링 할 수 있어야 성공적으로 비밀번호를 유출시킬 수 있다. 따라서 기본적으로 다중접속이 불가능한 원격 제어 프로그램인 Microsoft Remote Desktop Protocol을 제외한 대표적인 4가지 원격 제어 프로그램으로 비밀번호 유출 가능성을 확인하였다. 확인 결과, Table 1.
따라서 기본적으로 다중접속이 불가능한 원격 제어 프로그램인 Microsoft Remote Desktop Protocol을 제외한 대표적인 4가지 원격 제어 프로그램으로 비밀번호 유출 가능성을 확인하였다. 확인 결과, Table 1.과 같이 Google Remote desktop을 제외한 3가지 상용 원격 제어 프로그램에서 모두 사용자의 마우스 포인터 모니터링이 가능하여 비밀번호를 유출할 수 있었다. 하지만 4가지 프로그램 모두 원격 접속 중에는 원격지 PC에서 알림 문구나 트레이 아이콘으로 알려주고 있었으며 국내 인터넷 뱅킹 보안 프로그램 중 하나인 ‘Ahnlab safe transaction’에서는 원격 포트나 프로세스를 감지하여 팀뷰어와 VNC 뷰어를 차단하고 있다.
현재 인터넷 뱅킹을 사용하기 위해 키보드를 사용하여 비밀번호를 입력할 때는 반드시 키보드 보안 프로그램을 설치해야 하며 설치할 수 없는 환경에서는 가상키보드로만 입력해야 한다. 따라서 5개 은행에 대해서 Windows 11, Mac OS 12.4, 구름OS 3.0, Ubuntu 20.04 모두 키보드로 입력하는 비밀번호는 유출할 수 없었다.
따라서 Mac OS를 제외한 다른 운영체제에서는 입력 모니터링 권한을 제한하거나 원격 제어 프로그램을 차단하지 않아 키보드로 입력하는 웹사이트의 비밀번호도 추가로 유출할 수 있었다. 간편결제 서비스에서도 가상키보드의 키 배열을 섞는 훔쳐보기 방지 기술이 적용되었으나 이전실험과 동일하게 마우스 이벤트에 대한 후킹 및 화면 캡처를 동시에 수행한다면 성공적으로 비밀번호를 유출할 수 있었다. 하지만 삼성페이와 카카오페이(Fig.
국내에서 민감한 정보를 다루는 인터넷 뱅킹 및 간편 결제 서비스를 지원하는 웹사이트를 대상으로 실험한 결과, 키보드에 비해 안전하다고 알려진 가상 키보드로 입력된 비밀번호를 대부분의 PC 환경에서 성공적으로 유출할 수 있었다. 가상키보드 입력과정을 보호하기 위한 멀티마우스 기술이나 무작위로 키배열을 섞는 기술이 적용되고 있으나 운영체제에서 화면캡처를 제한하지 않다면 비밀번호 유출 공격은 막을 수 없다.

후속연구

가상키보드 입력과정을 보호하기 위한 멀티마우스 기술이나 무작위로 키배열을 섞는 기술이 적용되고 있으나 운영체제에서 화면캡처를 제한하지 않다면 비밀번호 유출 공격은 막을 수 없다. 따라서 민감한 데이터를 다루는 서비스 제공자는 키보드 데이터뿐만 아니라 마우스 데이터를 보호하기 위해 암호화 및 마우스 로깅을 탐지하는 기술을 적용해야 하고, 추가로 FIDO 표준의 생체인식 인증방식을 적용한 모바일 앱을 활용하여 사용자 인증 방식을 보완할 필요가 있다. 향후 연구로 최근 발표된 Apple의 ‘Passkeys’와 같이 모든 PC 환경에서 기존 비밀번호 인증방식의 취약점을 해결하고 편리함과 안전성을 모두 갖춘 사용자 인증을 수행할 수 있는 연구를 수행하여 안전하게 금융서비스를 사용할 수 있기를 기대해본다.
따라서 민감한 데이터를 다루는 서비스 제공자는 키보드 데이터뿐만 아니라 마우스 데이터를 보호하기 위해 암호화 및 마우스 로깅을 탐지하는 기술을 적용해야 하고, 추가로 FIDO 표준의 생체인식 인증방식을 적용한 모바일 앱을 활용하여 사용자 인증 방식을 보완할 필요가 있다. 향후 연구로 최근 발표된 Apple의 ‘Passkeys’와 같이 모든 PC 환경에서 기존 비밀번호 인증방식의 취약점을 해결하고 편리함과 안전성을 모두 갖춘 사용자 인증을 수행할 수 있는 연구를 수행하여 안전하게 금융서비스를 사용할 수 있기를 기대해본다.

참고문헌 (17)

The Bank of Korea, "Use of Korea Bank Internet Banking Service during 2021," Mar. 2022.
The Bank of Korea, "Use of Electronic Payment Service during 2021," Mar. 2022.
Kang-Bin Yim and Kwang-Jin Bae, "Analysis of an Intrinsic Vulnerabilityon Keyboard Security", Journal of theKorea Institute of InformationSecurity & Cryptology 18(3), pp.89-95, Jun. 2008
Microsoft, "Window App Development- winuser.h header", https://docs.microsoft.com/en-us/windows/win32, 2022.
Gettys James, Robert W. Scheifler and Ron Newman, "Xlib: ClanguageX interface (X version 11, release4)" Vol. 29, Silicon Press, 1990.
Apple, "API Collection - Quartz EventServices", https://developer.apple.com/documentation/coregraphics/quartz_event_services, 2022.
Jong-Hyeok Lee, "Implementation of anti-screen capture modules forprivacy protection", Journal of the Korea Institute of Information and Communication Engineering 18(1), pp.91-96, Jan. 2014.

원문보기 상세보기
Manu Kumar, Tal Garfinkel, Dan Boneh and Terry Winograd. "Reducing shoulder-surfing by using gaze-based password entry.", SOUPS'07:Proceedings of the 3rd symposiumon Usable privacy and security, pp.13-19. ACM, July. 2007.
Bobur Shakirov, Hye-jinKim,Kyung-Hee and Dae-Hun Nyang,"Analysis on Vulnerability of Password Entry Using Virtual Onscreen Keyboard", Journal of theKorea Institute of InformationSecurity & Cryptology 26(4), pp. 857-869, Aug. 2016.

원문보기 상세보기
Tea-Nam Cho and Sook-Hee Choi,"Vulnerabilities and Countermeasures of Dynamic Virtual Keyboardin Android Banking Apps", KIPSTransactions on Computer and Communication Systems 8(1), pp. 9-16, Jan. 2019
Sung-Hwan Kim, Min-Su Park and Seung-Joo Kim, "Shoulder Surfing Attack Modeling and Security Analysis on Commercial Keypad Schemes", Journal of the Korea Institute of Information Security & Cryptology 24(6), pp. 1159-1174, Dec. 2014.

원문보기 상세보기
Sung-Hoon Lee, Seung-Hyn Kim, Eui-Yeob Jeong, Dae-Seon Choi and Seung-Hun Jin, "An Attack of Defeating Keyboard Encryption Module using Javascript Manipulation in Korean Internet Banking", Journal of the Korea Institute of Information Security & Cryptology 25(4), pp. 941-950, Aug. 2015.

원문보기 상세보기
AhnLab, "Snake Keylogger Being Distributed via Spam E-mails", https://asec.ahnlab.com/en/22074, April, 2021.
AhnLab, "[Vol.66] 'Dyre', a malwarethat steals financial information",ASEC Report, https://www.ahnlab.com/kr/site/securityinfo/asec/asecView.do?groupCodeVNI001&seq23903,July. 2015.
Fido Alliance, "How FIDO Works",https://fidoalliance.org/how-fido-works
Sang-Nae Cho, Dae-Seon Choi, Seung-Hun Jin and Hyung-HyoLee,"Passwordless Authentication Technology-FIDO", Electronics and telecommunications trends 29(4), pp.101-109, Aug. 2014.
Seong-Min Yoo, Seok-Jin Choi, Jun-Hoo Park and Jae-Cheol Ryou,"POSCAL : A Protocol of Service Access Control by Authentication Level", Journal of the Korea Institute of Information Security & Cryptology 28(6), pp. 1509-1522, Dec. 2018.

원문보기 상세보기

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증