자녀 보호에 유용한 ActMon CM
게시일: 2008/03/06 | 글쓴이: doa | 13500 번 | 프린트 | 메일


키 로거라고 하면 악성 스크립트나 백도어를 연상하기 쉽다. 사용자의 모든 활동을 감시할 수 있기 때문에 예전에는 이 키 로거를 이용해서 인터넷 뱅킹의 암호가 유출되었다. 그 결과 모든 금융권에서는 이러한 키 로깅을 감지하는 키보드 해킹 방지 프로그램를 무조건 설치해야하게 끔 바뀌었다.

키 로깅이 안좋은 목적으로 사용될 수 있다. 그러나 지나치게 컴퓨터에 빠져 있는 자녀를 둔 부모라면 때로는 상당히 유용한 프로그램이기도 하다. 즉 키 입력를 감시하는 프로그램은 사용하는 목적에 따라 좋은 프로그램이 될 수도 있고 나쁜 프로그램이 될 수도 있는 양날의 검과 같은 셈이다.

따라서 인터넷에서 이런 목적으로 사용되는 프로그램을 상당히 많이 찾을 수 있다. 또 이런 프로그램을 사용하는 것이 외국에서는 큰 문제가 없는 듯 Employee Monitor 와 같은 이름으로 판매되고 있는 실정이다. 그러나 이런 프로그램을 사용해도 환영 화면에서 로그인하는 것까지 잡아내기는 힘들다. 정확한 키 로깅을 하려면 드라이버 수준에서 설치되어야 하는데 드라이버 수준에서 동작하는 프로그램은 흔치 않기 때문이다.

오늘 소개하는 ActMon Computer and Internet Monitoring(이하 ActMon CM)는 사용자가 로그인할 때 사용하는 로그인 암호까지 잡아낼 수 있는 상당히 강력한 키 입력 감시 프로그램이다. 또 Internet Monitoring이라는 이름에서 알 수 있듯이 인터넷 탐색 기록도 감시한다. 아울러 숨김 모드로 동작하기 때문에 일반 사용자는 이런 프로그램이 설치되어 있는지 조차 알 수 없는 프로그램이다.

단순히 키 로깅만 가능한 것이 아니고 기록된 데이타를 전자우편이나 네트워크를 통해 사용자 몰래 전송할 수도 있다. 이 기능은 감시로도 사용할 수 있지만 이동형 컴퓨터(노트북)을 분실한 때에도 아주 유용하게 사용할 수 있다.


  1. 설치
  2. 사용
  3. 삭제
  4. 맺음말



먼저 프로그램 제작사에서 밝힌 이 프로그램의 특징은 다음과 같다.

비주얼한 기록
이 프로그램은 화면을 잡는 기능이 내장되어 있다. 따라서 PC에서 작업하는 모든 일을 잡아낼 수 있다. 기본적으로 흑백 화면으로 잡아내지만 원한다면 완전한 색상으로도 잡아낼 수 있다.
클릭: 그림 확대


텍스트 기록
키 입력, 사용자 이름, 암호, 경로, 접근 시간, 창 제목등 상당히 많은 내용을 기록한다. 또 이런 기록을 전자우편을 통해 전송할 수 있다. 더우기 로그인한 사용자는 이러한 사실을 알 수 있는 방법이 거의 없다.
클릭: 그림 확대


웹 감시
방문한 웹 사이트의 모든 URL을 기록한다. 보고서는 일반 텍스트 문서와 HTML 문서로 만들 수 있으며, HTML 문서로 만드는 경우 클릭 한번으로 기록된 사이트를 방문할 수 있다. 상당히 많은 브라우저에서 잘 동작한다.
클릭: 그림 확대


메신저 감시
메신저의 대화 내용을 기록한다. 외국에서 만들어진 AIM, ICQ, MSN, YIM등 거의 모든 유명한 프로그램을 지원한다. 지원하지 못하는 메신저라고 해도 최소한 보내는 메시지는 기록된다.

AOL 감시
메신저를 이용한 대화, 전자우편, 기타 내용등 AOL 프로그램 내에서 이루어지는 모든 것을 기록할 수 있다.

전자우편 전송
활동 기록은 전자우편을 통해 직접 받을 수 있다. 또 최대한의 보안과 빠르게 전송하기 위해 암호화된 ZIP 파일로 전송된다.[ActMon CM Pro만]
클릭: 그림 확대


네트워크 전송
로그 파일을 직접 LAN을 통해 전송할 수 있다. 이 기능을 이용하면 노트북과 같은 이동형 컴퓨터를 분실한 경우 아주 유용하게 사용할 수 있다.[ActMon CM Pro만]

사용자 관리
감시할 사용자를 선택적으로 조정할 수 있다.[ActMon CM Pro만]

철저한 숨김
ActMon CM은 어지간한 실력자가 아니라면 실행되고 있는 것 조차 알 수 없도록 철저하게 숨겨진다. acmcc라는 프로그램을 실행하면 자동으로 MRU 레지스트리에서 실행한 명령을 삭제하며 프로그램 추가/삭제에도 설치 기록이 남지 않는다. 또 드라이버로 실행되기 때문에 작업 관리자에서도 보이지 않는다.
클릭: 그림 확대


내려받기
  1. ActMon 홈페이지
  2. ActMon CM 홈페이지
  3. ActMon CM 내려받기 페이지
  4. actmon-cm-setup.exe


I. 설치 실치하는 방법이 아주 복잡한 것은 아니다. 그러나 몇가지 주의할 것이 있으므로 컴퓨터에 대해 잘 모르는 사람은 자세 읽고 설치하기 바란다.

  1. Secure Installation을 선택한 뒤 Next 단추를 클릭한다. Secure Installation을 선택하지 않으면 프로세스가 떠 있는 것을 확인할 수 있으므로 꼭 Secure Installation을 선택하기 바란다.
    클릭: 그림 확대


  2. 라이선스 동의(License Agreement) 창에서 YES 단추를 클릭하고 License Key 입력창에 구입한 라이선스 키를 입력한 뒤 Next 단추를 클릭한다.
    클릭: 그림 확대


  3. 라이선스 확인 창에서 다시 아니오 단추를 클릭한 뒤 Next/Next 단추를 클릭한다.
    클릭: 그림 확대


  4. 관리자를 호출하는 명령어를 알려 주는 창(Type ACMCC in RUN box to start.)에서 Finish 단추를 클릭한다.
    클릭: 그림 확대


  5. 암호 설정 창이 나타나면 Set Password 단추를 클릭하고 적당한 암호를 입력한 뒤 OK/OK 단추를 클릭한다.
    클릭: 그림 확대


  6. 시스템을 다시 부팅할 것인지 묻는 창이 나타나면 단추를 클릭해서 시스템을 다시 시작한다. 드라이버를 설치하는 프로그램이므로 꼭 다시 부팅하거나 PServ와 같은 프로그램을 이용해서 드라이버를 시작해 주어야 한다.


II. 사용 Settings에서 설정해야 하는 부분을 빼면 사용하는 것은 상당히 간단하다. Control Center만 시작/실행을 통해 실행하면 된다.

  1. 시작/실행을 클릭하고 acmcc를 입력한 뒤 확인 단추를 클릭한다.

  2. 암호를 묻는 창이 나타나면 설치에서 입력한 암호를 입력한다.
    클릭: 그림 확대


  3. acmcc라는 명령을 실행 창에 입력했고 이 기록이 레지스트리에 남아 있기 때문에 이 기록을 삭제할 것인지를 묻는 창이 나타난다. 이전에 실행한 명령(acmcc)이 남아 있으면 설치되어 있는 것이 알려질 수 있으므로 Display this information next time의 체크를 지운 Yes 단추를 클릭한다.
    클릭: 그림 확대


  4. 오른쪽 창에서 Reports를 클릭하고 오른쪽 사용자 목록 창에서 보고서를 생성할 사용자(#[email protected]#)을 선택한 뒤 Generate Report를 클릭하면 해당 사용자의 모든 활동을 확인할 수 있다.
    클릭: 그림 확대


III. 삭제 이 프로그램은 프로그램 추가/삭제에도 등록되지 않는다. 아울러 시스템을 검색해 보면 알 수 있지만 System32 폴더에 acmcc.exe 파일만 있기 때문에 어디에 설치되어 있는지 찾기도 힘들다. 따라서 삭제를 하려면 삭제할 수 있는 방법이 없다는 거을 알 수 있다. 따라서 ActMon CM은 제어판/프로그램 추가/삭제가 아니라 acmcc라는 명령을 실행하면 나타나는 Control Center에서만 삭제할 수 있다. 따라서 이 프로그램을 암호로 보호했다면 암호를 아는 사람만 삭제할 수 있다. 삭제를 하는 방법은 다음과 같다.

  1. 시작/실행을 클릭하고 acmcc를 입력한 뒤 확인 단추를 클릭한다.

  2. 암호를 묻는 창이 나타나면 설치에서 입력한 암호를 입력한다.
    클릭: 그림 확대


  3. Goto/Uninstall 메뉴를 클릭한다. 실제 삭제를 해보면 알 수 있지만 이 메뉴를 통해 삭제하면 정말 간단히 삭제된다.
    클릭: 그림 확대


IV. 맺음말 오늘 쪽지로 아는 분이 비슷한 질문을 해서 인터넷에서 이런 기능을 하는 프로그램을 찾아 봤다. 몇 종류를 시험해 봤지만 프로그램을 숨기는 기능이 마땅치 않았다. 그런데 이 프로그램은 그래도 전문가라고 하는 필자가 봐도 도대체 어디에서 실행이 되는지 알 수 없었다. 이 프로그램 자신을 숨기는 방법은 아주 철저하다. 먼저 제어판/프로그램 추가/삭제에 목록이 표시되지 않는다.
클릭: 그림 확대


작업 목록에서도 표시되지 않는다. Control Center를 기동하면 프로세스를 찾을 수 없도록 아예 기록 엔진을 중지하고 실행되며 Control Center를 종료한 뒤 확인해 봐도 관련 프로세스는 찾을 수 없었다.
클릭: 그림 확대


따라서 프로그램 삭제도 Control Center에서만 가능하며 그 Control Center의 아이콘 마저도 없었다. 탐색기로 탐색하다가 아이콘 때문에 틀통나지 않도록 배려한 것으로 보였다.
클릭: 그림 확대


실행을 통해 프로그램을 실행하면 자동으로 기록되는 RunMRU 레지스트리에서도 acmcc가 실행된 사실을 자동으로 숨겨버린다.
클릭: 그림 확대


마지막으로 금융권에 접속하면 무턱대고 깔아대는 키보드 해킹 방지 프로그램이 이 프로그램을 잡아내는지 확인해 봤다. nProtect가 Trojan-Spy/W32.Actmon.937984로 정확히 잡아내는 것을 알 수 있다.
클릭: 그림 확대


따라서 이 프로그램은 금융권의 키보드 해킹 방지 프로그램이 설치되어 있으면 무용 지물이 된다는 것을 명심하기 바란다.

순수 국내 기술로 개발된 새로운 백신, 새싹 리뷰 얼마 전 게시판에 글이 하나 올라왔... (13651) 2008-03-07
하드 디스크가 Multi-Word DMA 모드 2로 잡히는 경우 처음 쿼드 CPU를 구입한 뒤 성능... (13033)2008-02-22

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기



RSS 구독 (익명 | 회원 | 강좌 | 포럼)
(C) 1996 ~ 2017 QAOS.com All rights reserved.