키보드 보안 대응책

[wkpark]

- 전자금융거래의 공인인증/보안프로그램에 관한 제안 http://kldp.org/node/104111
- 리눅스 키보드 보안 http://kldp.org/node/75119
- 리눅스 "키보드 보안" 배포 http://kldp.org/node/94282
- http://www.raymond.cc/blog/archives/2007/09/20/how-to-beat-keyloggers-to-protect-your-identity/

이미 여러차례 KLDP에서 논의된 바 있지면 조금 정리해보자면,

오픈웹의 입장은 키보드 보안 프로그램을 강제하지 않도록 하는것 이라고 알고 있습니다.

제가 몇몇 은행에서 테스트해본 바로는 일부 은행에서는 키보드 보안프로그램을 깔지 않고도 인터넷뱅킹을 할 수 있었습니다.
공인인증서에 관련된 activeX류 프로그램과는 달리 "강제적"으로 깔리지는 않더군요. 설치되지 않으면 계속해서 warning
을
보여주는 사이트도 있구요. (이것은 같이 옵션으로 설치되는 백신류 active X도 마찬가지)

특히 리눅스 플랫폼과 같은 곳에서는 키보드 보안프로그램을 설치하는 그 단계에서 시스템 계정권한을 요구하고
몇몇 보안설정을 강제로 바꾸어버리는 문제가 있어서 (firewall 세팅 강제로 변경) 더욱 더 키보드 보안프로그램의 불필요성
을
요구하고 있습니다.

여기서 키보드 보안프로그램의 강제 조항은 리눅스이냐 PC냐에 따라 관점의 차이가 존재하는데,
PC의 경우는 키보드 로깅 프로그램이 이미 깔린 상태를 가정으로 하지만, 리눅스의 경우는 그것이 설치된 경우라면 이미
시스템의 보안을 보장할 수 없고 키보드 로깅을 막아야 할 이유도 없다고 말합니다.
태생적으로 보안에 취약한 키보드 대신에 소프트웨어 방식의 키보드를 제안하는 등등의 해결책이 토론에 등장하고
이미 솔루션으로 사용하는 곳도 있는 것 같습니다.

--------
여기서 제가 궁금한 것은 다음과 같습니다.
1) 기존에 구현된 키보드 로깅의 기술적 방식 (소프트웨어적 메시지 후킹, 키보드 드라이버단에서의 로깅 etc)
2) 그것을 대체하는 키보드 로깅방지가 내장된 한글입력기 (예를 들어 새나루 Win32 플랫폼용 오픈소스 한글 입력기)를 기
본 한글 입력기로 사용 가능할지의 여부

다시말해, 일종의 공개된 키보드 로깅방지 프로그램을 오픈소스로 개발할 가능성에 대해 여쭙는 것입니다.
이것이 개발 가능성이 있다면, 키보드 보안 ActiveX는 옵션으로 완전히 빼어버리더라도 보안에 취약할 수 밖에 없는 PC의
또 다른 안전장치로 활용할 수 있을 것으로 생각됩니다.

참고로, 새나루 한글 입력기는 자체적으로 키보드 후킹 방식을 내장하고 있어서, 이 방식으로 소프트웨어적인 드보락 키보드를
구현하고 있고, 또한 드보락 드라이버도 동시에 지원하여 후킹을 쓰지 않는 방식도 지원하고 있습니다.
새나루 한글 입력기도 기술적으로는 키보드 로깅/해킹 프로그램과 같은셈이죠ㅋ

보안관계자분이나 이쪽으로 경험이 있으신 분 조언을 부탁드립니다~

[medjay]

말씀하신 것처럼 키로깅 기술은 매우 다양해서 언제 어디서 가져가느냐에 따라 많이 달라집니다. 현재 키보드 보안 프로그램들은 그런 새로운 구멍이 발견되면 그때그때 추가로 막아내는 걸로 알고 있습니다. 괜히 키보드 보안 프로그램들이 악성 프로그램 처럼 멋대로 서비스로 등록하고 종료할 수 없는 형태로 발전된 게 아닐겁니다. 꾸준히 키로깅 기술들이 나오는걸 보면 별 방법이 다 나오니, 결국 그렇게 갈 수 밖에 없게된거죠.

 

이 때 키로깅에 대한 대응 기법들도 나름 독특하다고 생각해서 특허로 등록된 것들도 있을텐데 이런 부분은 어떻게 해결 가능할까요?

 

또 다른 문제로 과거 키보드 보안 프로그램의 보호구간이 키보드에서 브라우저까지 였다면, 최근엔 키보드에서 웹 서버까지(End 2 End)로 확장되었습니다. 때문에 ActiveX 암호화 프로그램과 연동되어 동작하고 있죠. ActiveX 암호화 프로그램을 SSL로 대체하게 되더라도 E2E를 위해서는 서버쪽에도 모듈이 설치되어야 합니다.

 

추가로 스크린 키보드 역시 키로깅과 별반 다르지 않게 취약할 것이라 봅니다. 웹 브라우저의 폼 값을 추적하거나 화면캡쳐/녹화 같은 방법으로 로깅이 가능합니다. 결국 화면 캡쳐가 안되게 하는 프로그램이 또 필요해집니다.

 

좀 다른 이야기로

 

키보드 보안을 포기할 순 없을까요? 어차피 보안성을 보장하기 힘드니 키보드 입력으로 인한 인증(비밀번호 류)에 의존성은 포기하고, 다른 인증 기술을 찾아내는 것도 방법이라 생각합니다.

 

이미 몇년 전부터 다수의 factor를 이용한 인증은 완벽하지 않다라고 인식되고 있음에도 불구하고, 인터넷뱅킹에서는 인증 factor 수만 늘려왔습니다. 최근의 계좌이체를 위한 인증 factor를 보면 로그인 비밀번호, 계좌 비밀번호, 이체 비밀번호, 보안카드(OTP) 비밀번호(2개), 공인인증서 비밀번호 까지 최대 6개나 됩니다. 인증 factor 수의 증가는 불편만 가중시켰지 보안성이 높아졌다고 보긴 힘듭니다. 모든 factor가 키보드를 통한 입력을 필요로 하고 있으니, 키보드 보안의 끈을 놓을수가 없는겁니다. 그만큼 키보드 보안의 중요성을 모두 인식하고 있게된 부분도 있는 듯 싶습니다. 오픈웹에서 조차도 키보드 보안은 중요하다고 생각하고 있으니 말입니다.

 

이런 관점에서의 접근은 너무 급진적인가요?

 

 

2009/4/8 wkpark <wkp...@gmail.com>

[youknowit]

저는 OTP 를 사용하면, 키보드 보안은 무의미하다고 "소박하게" 생각합니다. OTP를 사용하면서도 키보드 보안을 강제하는 한
국씨티은행 등의 조치는 저로서는 납득이 가지 않습니다.

키보드 보안에 과한 오픈웹의 입장은 "현재의 국내 사용자들의 이용 습관때문에 형성된 환경(모든 이용자들에게 끊임 없이 '예'하라
고 안내해 온 나머지, 많은 이용자들이 실제로 '예'를 거듭 눌러온 기형적인 환경) 하에서는" 어느 정도 유용성이 있다는 것입니
다. 그것도, 윈도우를 admin 으로 일상적으로 이용하는 자에 한하여...

"인증 factor 수의 증가는 불편만 가중시켰지 보안성이 높아졌다고 보긴

힘듭니다" -- 100% 공감!

On 4월9일, 오전11시11분, medjay <med...@gmail.com> wrote:
> 말씀하신 것처럼 키로깅 기술은 매우 다양해서 언제 어디서 가져가느냐에 따라 많이 달라집니다. 현재 키보드 보안 프로그램들은 그런 새로운
> 구멍이 발견되면 그때그때 추가로 막아내는 걸로 알고 있습니다. 괜히 키보드 보안 프로그램들이 악성 프로그램 처럼 멋대로 서비스로 등록하고
> 종료할 수 없는 형태로 발전된 게 아닐겁니다. 꾸준히 키로깅 기술들이 나오는걸 보면 별 방법이 다 나오니, 결국 그렇게 갈 수 밖에
> 없게된거죠.
>
> 이 때 키로깅에 대한 대응 기법들도 나름 독특하다고 생각해서 특허로 등록된 것들도 있을텐데 이런 부분은 어떻게 해결 가능할까요?
>
> 또 다른 문제로 과거 키보드 보안 프로그램의 보호구간이 키보드에서 브라우저까지 였다면, 최근엔 키보드에서 웹 서버까지(End 2
> End)로 확장되었습니다. 때문에 ActiveX 암호화 프로그램과 연동되어 동작하고 있죠. ActiveX 암호화 프로그램을 SSL로
> 대체하게 되더라도 E2E를 위해서는 서버쪽에도 모듈이 설치되어야 합니다.
>
> 추가로 스크린 키보드 역시 키로깅과 별반 다르지 않게 취약할 것이라 봅니다. 웹 브라우저의 폼 값을 추적하거나 화면캡쳐/녹화 같은
> 방법으로 로깅이 가능합니다. 결국 화면 캡쳐가 안되게 하는 프로그램이 또 필요해집니다.
>
> 좀 다른 이야기로
>
> 키보드 보안을 포기할 순 없을까요? 어차피 보안성을 보장하기 힘드니 키보드 입력으로 인한 인증(비밀번호 류)에 의존성은 포기하고,
> 다른 인증 기술을 찾아내는 것도 방법이라 생각합니다.
>
> 이미 몇년 전부터 다수의 factor를 이용한 인증은 완벽하지 않다라고 인식되고 있음에도 불구하고, 인터넷뱅킹에서는 인증 factor
> 수만 늘려왔습니다. 최근의 계좌이체를 위한 인증 factor를 보면 로그인 비밀번호, 계좌 비밀번호, 이체 비밀번호, 보안카드(OTP)
> 비밀번호(2개), 공인인증서 비밀번호 까지 최대 6개나 됩니다. 인증 factor 수의 증가는 불편만 가중시켰지 보안성이 높아졌다고 보긴
> 힘듭니다. 모든 factor가 키보드를 통한 입력을 필요로 하고 있으니, 키보드 보안의 끈을 놓을수가 없는겁니다. 그만큼 키보드 보안의
> 중요성을 모두 인식하고 있게된 부분도 있는 듯 싶습니다. 오픈웹에서 조차도 키보드 보안은 중요하다고 생각하고 있으니 말입니다.
>
> 이런 관점에서의 접근은 너무 급진적인가요?
>
> 2009/4/8 wkpark <wkp...@gmail.com>
>
> > - 전자금융거래의 공인인증/보안프로그램에 관한 제안http://kldp.org/node/104111

> > - 리눅스 키보드 보안http://kldp.org/node/75119

> > - 리눅스 "키보드 보안" 배포http://kldp.org/node/94282
> > -

> >http://www.raymond.cc/blog/archives/2007/09/20/how-to-beat-keyloggers...

[youknowit]

admin 으로 윈도우를 사용하지 않는 자는 한국에서 전자금융거래를 할 수 없도록 만들어 왔고, 일반 유저 권한으로 사용하는 자
는 "예'를 무작정 누르고 싶어도 그럴 수 없지 않나요? 눌러본들, 설치가 안되니. (비스타의 경우 UAC 를 비활성화하지 않
는 이상)

[dasony]

> > 저는 OTP 를 사용하면, 키보드 보안은 무의미하다고 "소박하게" 생각합니다. OTP를 사용하면서도 키보드 보안을 강제하는 한
> > 국씨티은행 등의 조치는 저로서는 납득이 가지 않습니다.

OTP를 사용해도 키보드 보안이 무의미하지는 않습니다. 사용자가 입력하는 순간 바로 가로 채서 사용하는 실시간 공격이 가능하니까
요. 하긴 한번 사용한 패스워드는 사용할 수 없게 한다면, 단순히 키로거만을 이용한 공격은 불가능해지긴 하겠네요. MITM이나
프록시 등의 기타 방법을 통해 로그인 시도를 hijack해야할테니까요.

[Seo Sanghyeon]

On 4월9일, 오전11시22분, youknowit <keechang....@googlemail.com> wrote:

> 저는 OTP 를 사용하면, 키보드 보안은 무의미하다고 "소박하게" 생각합니다. OTP를 사용하면서도 키보드 보안을 강제하는 한국씨티은행 등의 조치는 저로서는 납득이 가지 않습니다.

이부분은 동감합니다.

[Taewoo Lee]

otp의 경우 한번 사용한 패스워드에 대해 재사용을 못하게 할 수 있는걸로 알고 있습니다. 유저 입장에서는 불편하겠지만 이게 otp 목적에 부합하기도 하고요

----- 원본 메시지 -----
보낸 사람: dasony <das...@gmail.com>
보낸 날짜: 2009년 4월 9일 목요일 오후 12:43
받는 사람: open web <open...@googlegroups.com>
제목: [open web] Re: 키보드 보안 대응책

> > 저는 OTP 를 사용하면, 키보드 보안은 무의미하다고 "소박하게" 생각합니다. OTP를 사용하면서도 키보드 보안을 강제하는 한
> > 국씨티은행 등의 조치는 저로서는 납득이 가지 않습니다.

OTP를 사용해도 키보드 보안이 무의미하지는 않습니다. 사용자가 입력하는 순간 바로 가로 채서 사용하는 실시간 공격이 가능하니까

[esre...@gmail.com]

리눅스를 데스크탑으로 쓰고 있는 사람들은 가상머신의 윈도우즈를 통해서 인터넷뱅킹을 하는 사람들 많을 겁니다.
보안 업체 관점에서 보면 리눅스 사용자들은 안티바이러스 프로그램도 안 깔고 키보드 보안도 안 되어 있어서 해킹에 무방비로 노출되
어 있습니다. 그러면 이처럼 가상머신으로 인터넷 뱅킹을 하다가 문제가 된 경우는 비율이
얼마나 되는지 궁금하네요. 훌륭한 보안 ActiveX 안 깔고 사용하는 거니까 비율이 좀 될 것 같은데요.
저는 리눅스에서 인터넷뱅킹이 안 되니까 이처럼 무방비 상태로 인터넷뱅킹을 이용하고 있네요. 은행은 빨리 리눅스용 프로그램을 내
놓던지 아니면 가상머신에서 인터넷뱅킹이 안 되게 막으세요. 뚫리면 은행이 손해잖아요.

On 4월8일, 오후2시20분, wkpark <wkp...@gmail.com> wrote:
> - 전자금융거래의 공인인증/보안프로그램에 관한 제안http://kldp.org/node/104111

> - 리눅스 키보드 보안http://kldp.org/node/75119

> - 리눅스 "키보드 보안" 배포http://kldp.org/node/94282

> -http://www.raymond.cc/blog/archives/2007/09/20/how-to-beat-keyloggers...

[esre...@gmail.com]

리눅스를 데스크탑으로 쓰고 있는 사람들은 가상머신의 윈도우즈를 통해서 인터넷뱅킹을 하는 사람들 많을 겁니다.
보안 업체 관점에서 보면 리눅스 사용자들은 안티바이러스 프로그램도 안 깔고 키보드 보안도 안 되어 있어서 해킹에 무방비로 노출되
어 있습니다. 그러면 이처럼 가상머신으로 인터넷 뱅킹을 하다가 문제가 된 경우는 비율이
얼마나 되는지 궁금하네요. 훌륭한 보안 ActiveX 안 깔고 사용하는 거니까 비율이 좀 될 것 같은데요.
저는 리눅스에서 인터넷뱅킹이 안 되니까 이처럼 무방비 상태로 인터넷뱅킹을 이용하고 있네요. 은행은 빨리 리눅스용 프로그램을 내
놓던지 아니면 가상머신에서 인터넷뱅킹이 안 되게 막으세요. 뚫리면 은행이 손해잖아요.

On 4월8일, 오후2시20분, wkpark <wkp...@gmail.com> wrote:
> - 전자금융거래의 공인인증/보안프로그램에 관한 제안http://kldp.org/node/104111

> - 리눅스 키보드 보안http://kldp.org/node/75119

> - 리눅스 "키보드 보안" 배포http://kldp.org/node/94282

> -http://www.raymond.cc/blog/archives/2007/09/20/how-to-beat-keyloggers...

[Won-Kyu Park]

2009년 4월 9일 (목) 오전 11:11, medjay <med...@gmail.com>님의 말:

> 말씀하신 것처럼 키로깅 기술은 매우 다양해서 언제 어디서 가져가느냐에 따라 많이 달라집니다. 현재 키보드 보안 프로그램들은 그런 새로운
> 구멍이 발견되면 그때그때 추가로 막아내는 걸로 알고 있습니다. 괜히 키보드 보안 프로그램들이 악성 프로그램 처럼 멋대로 서비스로 등록하고
> 종료할 수 없는 형태로 발전된 게 아닐겁니다. 꾸준히 키로깅 기술들이 나오는걸 보면 별 방법이 다 나오니, 결국 그렇게 갈 수 밖에
> 없게된거죠.
>
> 이 때 키로깅에 대한 대응 기법들도 나름 독특하다고 생각해서 특허로 등록된 것들도 있을텐데 이런 부분은 어떻게 해결 가능할까요?
>
> 또 다른 문제로 과거 키보드 보안 프로그램의 보호구간이 키보드에서 브라우저까지 였다면, 최근엔 키보드에서 웹 서버까지(End 2
> End)로 확장되었습니다. 때문에 ActiveX 암호화 프로그램과 연동되어 동작하고 있죠. ActiveX 암호화 프로그램을 SSL로
> 대체하게 되더라도 E2E를 위해서는 서버쪽에도 모듈이 설치되어야 합니다.
>
> 추가로 스크린 키보드 역시 키로깅과 별반 다르지 않게 취약할 것이라 봅니다. 웹 브라우저의 폼 값을 추적하거나 화면캡쳐/녹화 같은
> 방법으로 로깅이 가능합니다. 결국 화면 캡쳐가 안되게 하는 프로그램이 또 필요해집니다.
>

스크린 키보드가 화면 캡쳐에는 당해낼 재간이 없겠지만, 일단 스크린 캡쳐는 다른 것보다야 들통날 가능성이 높겠지요.
컴퓨터 부하가 높아진다거나 네트웍 대역이 꽤 증가할테니까요.

이중에서 하드웨어적으로 가장 취약한 키보드를 깰 방법은 소프트(스크린)키보드밖에 없겠고,
http://www.raymond.cc/blog/archives/2007/09/20/how-to-beat-keyloggers-to-protect-your-identity/
이 주소에 나온 몇몇 스크린 키보드는 키의 배열을 바꾼다거나 해서 마우스 로거에도 대응하는 등등.

스크린 키보드가 가장 단순하지면 키보드 로깅방지 ActiveX보다는 훨씬 웹 접근성에서 낫다고 봅니다.

공개된 스크린 키보드도 많지만, 이참에 깔끔한 스크린 키보드를 오픈소스로 BSD라이센스로 만들어보고 싶어지네요ㅋ
(두벌식 세벌식 모두 지원 등등등ㅎ)

>
> 좀 다른 이야기로
>
> 키보드 보안을 포기할 순 없을까요? 어차피 보안성을 보장하기 힘드니 키보드 입력으로 인한 인증(비밀번호 류)에 의존성은 포기하고,
> 다른 인증 기술을 찾아내는 것도 방법이라 생각합니다.
>
> 이미 몇년 전부터 다수의 factor를 이용한 인증은 완벽하지 않다라고 인식되고 있음에도 불구하고, 인터넷뱅킹에서는 인증 factor
> 수만 늘려왔습니다. 최근의 계좌이체를 위한 인증 factor를 보면 로그인 비밀번호, 계좌 비밀번호, 이체 비밀번호, 보안카드(OTP)
> 비밀번호(2개), 공인인증서 비밀번호 까지 최대 6개나 됩니다. 인증 factor 수의 증가는 불편만 가중시켰지 보안성이 높아졌다고 보긴
> 힘듭니다. 모든 factor가 키보드를 통한 입력을 필요로 하고 있으니, 키보드 보안의 끈을 놓을수가 없는겁니다. 그만큼 키보드 보안의
> 중요성을 모두 인식하고 있게된 부분도 있는 듯 싶습니다. 오픈웹에서 조차도 키보드 보안은 중요하다고 생각하고 있으니 말입니다.
>
> 이런 관점에서의 접근은 너무 급진적인가요?
>

불과 몇년 전부터 OTP보급률이 증가하긴 했지만 강제하고 있지는 않아서 (조금 가격이 나가기도 하고)
은행에서 적극적으로 보급하고 있지 않는 것 같습니다.

키보드의 보안은 그 태생부터가 취약할 수 밖에 없기때문에 키보드 보안 얘기가 자꾸 나오는 것 같습니다.
그러면서도 키보드 만큼 간단한 입력장치도 없으니까 계속 문제가 되는거죠 ㅎ 키보드의 접근성이 마우스보다 좋다는 거죠~

그러고보니, 인터넷 뱅킹하려면 ㄷㄷㄷ
1) 비밀번호 4자리(신용카드/계좌) 2) 이체비밀번호 4자리 이상 (없는 곳도 있음) 3) 공인인증서 비밀번호
4) 보안카드(2회) 혹은 OTP ㅎㅎ 5) (몇몇 은행은 공인인증서 로그인을 지원 안해서) 로그인 비밀번호.

--
온갖 참된 삶은 만남이다 -- 마르틴 부버

[Mountie Lee]

키보드 보안이 안전하지 않다고 이야기하는 경우의 대표적인 예가

말씀하신대로 화면캡처입니다.

그리고 이까지 나간다면 더이상 키보드보안 이슈가 아니고 스파이웨어나 안티바이러스 이슈입니다.

키보드 보안을 위해서는

키 입력을 최소한으로 줄이고

꼭 필요할때 키보드 보안이 적용되도록 하고

범용적인 키보드 보안솔루션으로 화면 키보드를 이용하자

귀결되는군요.

화면 키보드종류중 윈도우즈의 OS내장 화면 키보드의 경우 일반 키 입력과 동일하게 처리하므로 화면 키보드 효과가 없고

필요한것은 웹에서 사용하는 자바스크립트 키보드를 강조해야합니다.

2009/4/10 Won-Kyu Park <wkp...@gmail.com>

[Channy Yun]

이런 문제가 계속 되풀이 되어서 논의 되는 이유 중 하나가 정보가 축적 되지 않아서인것 같아요.
FYI: http://kldp.org/node/75119

예전에 본 글 같은데 잊어 먹고 있었네요.

Channy

On 4월8일, 오후2시20분, wkpark <wkp...@gmail.com> wrote:
> - 전자금융거래의 공인인증/보안프로그램에 관한 제안http://kldp.org/node/104111

> - 리눅스 키보드 보안http://kldp.org/node/75119

> - 리눅스 "키보드 보안" 배포http://kldp.org/node/94282

> -http://www.raymond.cc/blog/archives/2007/09/20/how-to-beat-keyloggers...

[지구인]

토론들을 계속 보면서 생기는 의문점 하나가 과연 인터넷뱅킹보안(이하 뱅킹보안)의 범위가 어디까지인가? 였습니다.
제가 생각하는 인터넷뱅킹의 범위에 키보드보안은 포함되지 않는다고 보여 집니다.
키보드 보안은 뱅킹보안만 해당 되는 내용은 아니라고 보여 집니다.
그래서 하지 말자는 말은 아닙니다. 뱅킹보안을 말 할때 키보드 보안은 별게로 취급을 해야 되지 않는가 하는것입니다.

그런 의미에서 키보드 보안 부분은 사용자의 선택에따라 설치하거나 설치 하지 않을수 있어야 된다고 보여 집니다.
그것의 기술적인 부분은 부차적인 문제로 보여 집니다.
여기서 키보드 보안이 완벽하다 안전하다 그렇지 않다 할 필요는 없어 보입니다.
이 키보드 보안을 빼고 토론을 한다면 서로의 일치점을 찾기가 보다 쉬울것으로 보입니다.

[youknowit]

저는 전문가가 아니므로, 상식적 수준에서 말씀드리겠습니다.

개인PC보안 단계를 구분해 보면,

1) PC 칩입차단
- OS Patch, 최신 버전 웹브라우저 사용, 개인방화벽

2) 침입차단에 실패하여 PC가 침해되었더라도, 침입을 감지하고 복구
- 안티바이러스

3) PC가 침입되었고, 복구에도 실패하였지만, 그래도 전자금융거래를 안전하게 하려면
- 키보드 보안

그러나, 이미 침해된 PC에서의 키보드 로깅방지가 얼마나 효과 있을지는 모든 키보드보안 솔루션을 통틀어 미지수이긴 합니다.